サイト内の現在位置

InfoCage SiteShell におけるサービス実行ファイルが書き換え可能な脆弱性

掲載番号:NV20-014
脆弱性情報識別番号:JVN#07426151

 

概要

権限設定の不備により、SiteShell 本体のインストールフォルダに配置されたサービス実行ファイルを、すべてのユーザが書き換え可能な脆弱性が存在します。

対象製品

InfoCage SiteShell

影響の有無

影響あり

対象となる製品のバージョン

 ホスト型SiteShell IIS版 V1.4~V1.6
 ホスト型SiteShell IIS版 V2.0.0.6 より前のリビジョン
 ホスト型SiteShell IIS版 V2.1.0.7 より前のリビジョン
 ホスト型SiteShell IIS版 V2.1.1.6 より前のリビジョン
 ホスト型SiteShell IIS版 V3.0.0.11 より前のリビジョン
 ホスト型SiteShell IIS版 V4.0.0.6 より前のリビジョン
 ホスト型SiteShell IIS版 V4.1.0.5 より前のリビジョン
 ホスト型SiteShell IIS版 V4.2.0.1 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V1.4~V1.6
 ホスト型SiteShell Apache Windows版 V2.0.0.6 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V2.1.0.7 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V2.1.1.6 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V3.0.0.11 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V4.0.0.6 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V4.1.0.5 より前のリビジョン
 ホスト型SiteShell Apache Windows版 V4.2.0.1 より前のリビジョン

対処方法

 以下の修正パッチを適用してください。
 V2.0.0.6
 V2.1.0.7
 V2.1.1.6
 V3.0.0.11
 V4.0.0.6
 V4.1.0.5
 V4.2.0.1

 ※V1.4~V1.6は標準サポートを終了しており、対処版のリリースはございません。
  より新しいバージョンへのバージョンアップをお願いします。

参考情報

インストールしたファイルに Everyone による変更権限が付与される際のInfoCage SiteShellの対応について
https://jpn.nec.com/infocage/siteshell/everyone_20200918.html

JVN#07426151
https://jvn.jp/jp/JVN07426151/index.html

更新情報

2020/11/10
InfoCage SiteShell を登録しました。