グループウェア「サイボウズ Office 6」に脆弱性

サイボウズOffice 6.6（1.3）までに以下のような脆弱性が発見されました。
・クロスサイトスプリクティングの脆弱性
悪意のある第三者がこの脆弱性を利用した場合、ユーザのブラウザ上で悪意あるスクリプトを実行される可能性があります。
・サービス運用妨害 (DoS) 攻撃される脆弱性
悪意のある第三者がこの脆弱性を利用することで、サービス運用妨害(DOS)をされる可能性があります。
サービス運用妨害(DOS)を受けた場合、サーバが過負荷状態となり、利用している「Office 6」の機能が使用できない状態になる恐れがあります。
・HTTPヘッダ・インジェクションの脆弱性
悪意のある第三者がこの脆弱性を利用することで以下のような現象を引き起こす可能性があります。
・・任意のCookie発行
・・キャッシュサーバのキャッシュ汚染
・・クロスサイトスクリプティングを発生させ任意のスクリプトの実行
（上記リンク先はすべてサイボウズHP）

対策としてはサイボウズOffice 6.6（1.4）にアップデートする事。
「Office 6.6(1.4)」　以上へバージョンアップすることで、「クロスサイトスプリクティングの脆弱性」、「サービス運用妨害 (DoS) 攻撃される脆弱性」、「HTTPヘッダ・インジェクションの脆弱性」の改修ができます。

家もデータのバックアップの後、アップデート作業をしました。
★最新版の「サイボウズ Office 6」にバージョンアップする場合 by UNIX系OSの場合（サイボウズ）
サーバー環境によっては上記に書いてある事以外に上書きインストールした後に実行ユーザーを変更しなければならない時があるので注意。

それにしてもサイボウズオフィス6導入が2004年ですが全然、メジャーアップデートがないですね。「サイボウズ Office 7」ってのはでないのでしょうか？

開発環境というか運用環境が変わったのが大きいのかな？サイボウズガルーン2なんてオフィス6と同じCyDE ( Cybozu Database Engine )からCyDE2（データベースエンジン「MySQL」、スクリプトエンジン「PHP4」を中心とした環境）になってますけどサイボウズ6から7になるにあたってこの環境が変わるとアップデート等もやりにくいのでしょうか？

現行、使っていてそんな不具合があるわけじゃありませんけど7が出るなら要望として
・Gmail等のWebメーラーみたいにAjaxを使って普通のメーラーみたいな使いが手を実現して欲しい。
・検索を早くして欲しい。最低でもGmailやGoogleデスクトップ、Mac OS XのSpotlightばりの速度をお願いします。
今は早いわけじゃないというかむしろ遅い。
・W-ZERO3を筆頭とするWindows Mobile搭載のスマートフォンとの連携。なんで6でも対応していないのか理解に苦しむ（当時は今ほどスマートフォンは普及していなかったでしょうけど・・・）。

このぐらいは実現して欲しいところ。

関連

【税込】サイボウズOffice6　基本セットパッケージ版（10ユーザー）

Posted by 封神龍（酒） at 2007年08月05日 18:59 | トらックバック | 【所属カテゴリ： Web/Webアプリ, ビジネス3】【コメントについて】【トラッくバックについて】【RSS登録について】