【概要】
株式会社ノースグリッドが提供する Proself は、オンラインストレージ構築パッケージです。
Proself には、認証バイパスおよびリモートコード実行の脆弱性が存在します。2023年7月20日に、同社より本脆弱性情報が公開されましたが、本脆弱性について、確認できていない利用組織の方々が存在している可能性を考慮し、本緊急対策を公開しております。
本脆弱性を悪用する攻撃がすでに確認されており、今後被害が拡大する可能性があるため、製品開発者が提供する最新の情報をご確認の上、修正バージョンが公開されている場合は、早急にアップデートを実施してください。

【影響を受けるシステム】
Proself の全てのバージョン

【対策】
1.脆弱性の解消 - 修正プログラムの適用
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
なお、サポートが終了している製品では脆弱性を修正するバージョンのリリースは行われないとのことです。

Proself Enterprise Edition Ver5.62
Proself Standard Edition Ver5.62
--- 2023年 8 月 16 日更新 ---

Proself Gateway Edition Ver1.65
--- 2023年 8 月 22 日更新 ---

Proself Mail Sanitize Edition Ver1.08
詳しくは、開発者が提供する下記サイトの情報をご確認ください。

・[至急]Proselfのゼロディ脆弱性による攻撃発生について(更新)
・Proselfのゼロディ脆弱性への対応バージョンに関する補足
--- 2023年 8 月 16 日更新 ---

・アップデート

2.脆弱性の暫定的な回避策
開発者によると、アップデートを適用できない場合には、Proself インストールフォルダの以下ファイルを Proself とは関係のない場所に移動、または削除することで、本脆弱性の影響を軽減することが可能とのことです。

Proself インストールフォルダ/webapps/proself/WEB-INF/xml/process/external/admin 配下の以下2ファイル

downloadhistory.xml
setclustermyid.xml



出典：独立行政法人情報処理推進機構(IPA)