English Edition

SNS Advisory No.93
Minna De Office Improper URL Privilege Escalation Vulnerability
 
Problem first discovered on: Thu, 02 Nov 2006
Published on: Wed, 04 Apr 2007

脅威度：
中

概要：
みんなでオフィスには、一般ユーザが本来アクセスできないはずの管理者用の画面にアクセスすることが可能な問題が存在します。みんなでオフィスにログイン可能な攻撃者に利用された場合、不正に管理者権限を取得される恐れがあります。

詳細：
みんなでオフィスは、Webグループウェアソフトであり、UNIXやWindowsで動作します。

みんなでオフィスには、ユーザへのアクセス制限に不備が存在するため、一般ユーザが本来アクセスできないはずの管理者用の画面にアクセスすることが可能な問題が存在します。

このため、みんなでオフィスにログイン可能な攻撃者は、一般ユーザ権限から管理者権限へ権限昇格が可能であり、結果として、本来許可されていない処理が実行されてしまう可能性があります。

影響のあるバージョン：
みんなでオフィス 1.12 B以前
みんなでオフィス 2.00以前

対策：
改訂プログラムを導入することで、この問題を解消することができます。
これは以下のURLより入手可能です。
http://www.aisantec.com/mof/whats_new/070320.html

発見者：
石川 芳浩（LAC）

謝辞：
本問題は、情報処理推進機構（IPA）、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN%2373258608/index.html
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_73258608.html

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/93.html