メールマガジン

[PE-NEWS:250] POWER EGG2.0製品における任意のコード実行の脆弱性につきまして

2019年2月4日

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
_/
_/ POWER EGG USER Information
_/
_/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
※影響の可能性があるお客様には、事前にご連絡させていただき、
 度重なるご案内となり恐縮ではございますが、一般公開にあたり再度
 ご連絡させていただきます。ご容赦ください。

                             2019年2月4日
お客様 各位
                         ディサークル株式会社

 POWER EGG2.0製品における任意のコード実行の脆弱性につきまして

拝啓 貴社ますますご清祥のこととお喜び申し上げます。
平素は、弊社商品「POWER EGG」をご愛顧賜り誠にありがとうございます。

この度、POWER EGG2.0のバージョン2.9以前において、
"サーバ上で任意のコードが実行できる"という脆弱性が存在することが
判明いたしました。お客様にはご心配をお掛けし申し訳ございません。

脆弱性の内容並びに対象バージョン、弊社の対応方針につきまして、
下記の通りご連絡いたしますので、ご対応をお願い申し上げます。

                                 敬具

                記

1.脆弱性につきまして

 POWER EGG2.0で利用しているOSSライブラリにブラウザから任意のコードを
 サーバで実行できるという未報告の脆弱性があったことが判明しました。
 悪意ある第三者からの脆弱性を突いた攻撃により、POWER EGG2.0が動作している
 サーバ上で任意のコマンドが実行され不正にサーバ上の情報を取得されたり、
 サービスを停止されるなどの被害を引き起こされる場合があります。

 汎用的な脆弱性の評価手法であるCVSS v3によるスコアは7.3(重要レベル)になります。
 詳細: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

2.影響を受ける製品につきまして

 この問題の影響を受けるPOWER EGGのバージョンは2.10c、3.0c以外の2.x製品に
 なります。Web版、携帯アクセス版、スマートフォン版いずれも影響を受けます。

 - Ver2.0.1 - Ver2.02 - Ver2.1(自治体版含む) - Ver2.2(自治体版含む)
 - Ver2.3(自治体版含む) - Ver2.4 - Ver2.5(自治体版含む) - Ver2.6
 - Ver2.7(自治体版含む) - Ver2.7 - Ver2.8  - Ver2.8c  - Ver2.9 

3.対策につきまして

 製品サポートポリシーでは修正プログラム提供はメインサポート中のバージョンのみと
 なっておりますが、今回は脆弱性の影響が大きいと判断し、延長サポート期間中の
 バージョンも含むPOWER EGG2.0 Ver2.6からVer2.9までの緊急修正プログラムを
 準備しております。

 POWER EGG2.0 Ver2.6からVer2.9をご利用中のお客様につきましては、
 ご利用中のバージョン、パッチレベルに対応した緊急修正プログラムの
 適用をお願いいたします。

 緊急修正プログラムの適用はWebサーバ1台あたり10分から15分程度となり、
 POWER EGGの停止が伴います。Webサーバが複数台ある場合は、
 すべてのWebサーバに適用してください。
 また、アドオン機能や他システム連携がないPOWER EGGの環境であれば
 お客様でも適用は可能です。但し、正常に適用できないなど有事の際に備えて
 お客様作業時に販売特約店様と連絡が取れる体制をとっていただきますよう
 お願いいたします。

 製品サポートが終了しているPOWER EGG2.0 Ver2.5以前のバージョンを
 ご利用のお客様は、POWER EGG2.0 Ver2.6以上のバージョンにバージョンアップし、
 緊急修正プログラムを適用してください。

 参考:POWER EGG2.0製品のサポートポリシーは下記URLをご参照ください。
 https://www.poweregg.net/situmon_support.htm

 なお、公開される脆弱性情報には具体的な脆弱性の内容や攻撃方法は
 公開されません。

 しかし、インターネット上にPOWER EGGを公開している場合、悪意を持った
 第三者から脆弱性に対する攻撃を受ける可能性が高くなりますので、
 速やかに緊急修正プログラムの適用をご検討いただきますようお願いいたします。

 緊急修正プログラムの適用やバージョンアップが難しい場合は、
 脆弱性攻撃のリスクを下げるためにインターネットからのアクセスを
 禁止したりVPNなど接続を限定するなどご検討ください。

5.本件に関するお問合せにつきまして

 緊急修正プログラムの入手、適用、バージョンアップのご相談は販売特約店の
 営業またはSEにご連絡いただきますようお願いいたします。

 なお、本脆弱性の情報と対応については以下のURLにある情報もご確認ください。

 https://poweregg.d-circle.com/support/package/important/20190204_000780/

 脆弱性に関する問い合わせは上記URLからアクセスできるお問合せページ
 よりお問い合わせください。

                                  以上
++++ お知らせ +++++++++++++++++++++++++++++++++++++++++++++++++++++

■メール配信サービスを停止したい場合
  件名に「配信停止希望」とご入力の上、dc-userinfo@d-circle.com まで
  ご返信ください。

■担当者が変更となった場合
  POWER EGG製品ページ>サポート>「ユーザ登録」よりご登録ください。
 >> https://poweregg.d-circle.com/support/

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

POWER EGGに関する操作や運用などで、よくある質問を公開しております!

POWER EGG 3.0はこちらからアクセス
 ⇒ https://poweregg.d-circle.com/faq/package/ 
POWER EGG 2.0はこちらからアクセス
 ⇒ https://pe-faq.poweregg.net/poweregg/ 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
________________________________________________________________

お問い合わせは、dc-userinfo@d-circle.com まで
発行元:ディサークル株式会社
〒101-0051
東京都千代田区神田神保町2-36-1 住友不動産千代田ファーストウイング
TEL:03-3514-6060
_________________________________________________________________

 POWEREGGユーザインフォメーションに掲載された内容は、
 いかなる形式であれ許可なく転載することは禁じられています。
 Copyright(C) D-CIRCLE Inc. 2001-2018