Download2250: TeamPage 6.2.33 アップデート

Title: TeamPage 6.2.33 アップデート

TeamPage 6.2.33 のリリースでは、主に次のセキュリティ関連の改善およびバグ修正を行いました。

クロスサイト・リクエスト・フォージェリ（CSRF）
パスワードのリセット要求（ログイン画面での「パスワードを忘れた場合」機能）
Web ソケットの検証

このリリースには、現時点での TeamPage の全セキュリティ改善が含まれています。すべてのお客様は、当バージョンへなるべく早くアップデートしていただけるよう、ご検討をお願いいたします。

詳しくは、下記の詳細をご確認ください。

セキュリティ関連の変更

権限関連のバグ修正

• 特定のファイルリソースに関して要求側ユーザーの許可を決定することに関するバグを修正しました。攻撃者は特別に細工した URL を使用して特定の種類のファイルをダウンロードすることにより、このバグを悪用する可能性がありました。

クロスサイト・スクリプティング攻撃への対応

• 特定の受信 URL パラメーターまたはフォームフィールド値のサニタイズまたはその他の処理の失敗に関連する 2 つのバグを修正しました。これらのバグは、クロスサイト・スクリプティング攻撃に悪用される可能性があります。この攻撃は、ユーザーがリンクを開いた場合、攻撃者が選択したスクリプトをユーザーのブラウザで実行することを可能にする、というものです。

• 特定のページを終了したときにユーザーが送信されるべき場所の追跡に関連する特定の URL パラメータまたはフォームフィールド値のサニタイズおよび検証の失敗に関するバグを修正しました。このバグは、クロスサイト・スクリプティング攻撃に悪用される可能性があります。この攻撃は、ユーザーがセットアップ画面の [終了] または [キャンセル] ボタンをクリックしたときに、攻撃者の選択によるスクリプトを特定のページで実行することを可能にする、というものです。

その他のスクリプティング攻撃への対応

• ユーザーが記事のコンテンツに任意の JavaScript を挿入できる可能性があるバグを修正しました。この問題を悪用すると、攻撃者はユーザーが記事を表示するときに、TeamPage のページでユーザーのブラウザに自分が選択したスクリプトを実行させることができます。

クロスサイト・リクエスト・フォージェリ攻撃への対応

• クロスサイト・リクエスト・フォージェリ攻撃への防御機能に関するいくつかの小さな改善を行いました。

• TeamPage が特定の HTTP クッキーを作成する方法を変更し、ブラウザが誤って TeamPage Web サイトのコンテキストで実行することを許可する可能性のあるクライアント側のスクリプトによる不正アクセスを防止するようにしました。

• ファイル操作をサポートする特定のエントリーポイントへのクロスサイト・リクエスト・フォージェリ攻撃に対する防御を追加しました。以前のバージョンでは、攻撃者は Web ページにフォームを埋め込むことができ、認証されたユーザーがそのフォームを使うと、攻撃者が選択した特定のファイル操作を実行される可能性がありました。

リダイレクト処理に関する修正

• セットアップ画面を終了したときに、通常はセットアップ画面に来る前に閲覧していたページに戻ります。この「セットアップ画面に来る直前のページ」の記憶に関する特定の URL パラメーターまたはフォームフィールド値のサニタイズおよび検証の失敗に関するバグを修正しました。このバグを攻撃者が悪用すると、ユーザーがセットアップ画面の [終了] や [キャンセル] ボタンをクリックしたとき、ユーザーのブラウザは攻撃者が選択した Web サイトへリダイレクトされる可能性があります。

パスワードのリセット機能の改善

関連記事
FAQ2495: ログインパスワードを忘れてしまいました。どうすれば良いですか？
DocJp210: パスワードリマインダー機能を有効にする

• パスワードのリセット機能が有効になっている場合に同機能を利用可能にし、無効にされた場合は同機能を確実に利用不可になるように、同機能のポリシー適用方法を変更しました。

• クロスサイト・リクエスト・フォージェリ攻撃から防御するため、パスワードのリセット要求の動作を変更しました。

• ユーザーがログイン画面でパスワードのリセット要求を行うとき、入力したユーザー名またはメールアドレスに該当するアクティブなユーザーが存在していない場合、TeamPage は「該当するユーザーが見つかりません」という内容の失敗理由メッセージを画面上に表示します。これは、パスワードのリセット機能が有効になっている場合、誰でもユーザーやメールアドレスの存在を調べることができることを意味します。今回のアップデートでは、既定のメッセージの代わりに、ユーザーやメールアドレスの存在について言及しないメッセエージを表示するかどうかの新しい設定を加えました。

Web ソケット

• TeamPage が受信した Webソケットのハンドシェイク要求を検証して、この種の接続が許可されていない Web サイトによって開始されないようにする方法を変更しました。

参照している (2)

FAQ2495: ログインパスワードを忘れてしまいました。どうすれば良いですか？DocJp210: パスワードリマインダー機能を有効にする

Article: Download2250 (permalink)
Categories: :DocJp:ChangeLog, :DocJp:R62, :Visitor:お知らせ, :Visitor:セキュリティ
Date: 2019/02/20; 8時15分46秒 JST

Author Name: TeamPage サポート
Author ID: jpbo