この記事は、2021年8月19日に Alfresco 社から発表(2021年11月1日に情報更新)された ブログ記事「 Alfresco Content Services security notification and hotfix instructions 」と、件名 「[alfresco] Security notification for Alfresco Content Services customers」 メールを日本語翻訳し、必要な情報を補足しています。
脆弱性の概要
このアドバイザリでは、Alfresco Content Services で確認された、Critical な重要度の3つのセキュリティ脆弱性について発表します。
Alfresco Content Services に関連する修正プログラムをできるだけ早くインストールすることを強く推奨します。
脆弱性の詳細
1.サンドボックス環境内での任意コード実行 (CVE-2021-41790)
脆弱性の説明
スクリプトアクションの実行により、データディクショナリの外部にアップロードされたスクリプトを実行できます。
これにより、ログインした攻撃者がサンドボックス環境内で任意のコードを実行する可能性があります。
影響バージョン
- Alfresco Content Services ver. 5.0.x.x - ver. 5.2.7.11
- Alfresco Content Services ver. 6.0.0.x - ver. 6.0.1.9
- Alfresco Content Services ver. 6.1.0.x - ver. 6.1.1.10
- Alfresco Content Services ver. 6.2.0.x - ver. 6.2.2.18
- Alfresco Content Services ver. 7.0.0.0 - ver. 7.0.0.2
- Alfresco Content Services ver. 7.0.1.0 - ver. 7.0.1.2
2.XSS フィルター回避を利用した攻撃 (CVE-2021-41791)
脆弱性の説明
Alfresco Share で共同作業者権限ユーザーが、HTML 入力検証のための XSS フィルター回避の脆弱性を悪用して攻撃できます。
影響バージョン
- Alfresco Share ver. 5.0.x.x - ver. 5.2.7.11
- Alfresco Share ver. 6.0.0.x - ver. 6.0.1.9
- Alfresco Share ver. 6.1.0.x - ver. 6.1.1.10
- Alfresco Share ver. 6.2.0.x - ver. 6.2.2.18
- Alfresco Share ver. 7.0.0.0 - ver. 7.0.1.0
- Alfresco Community Share - ver. 7.0
3.細工した HTML ファイルアップロードに依る ブラインド SSRF 攻撃 (CVE-2021-41792)
脆弱性の説明
細工された HTML ファイルがアップロードされると、変換エンジンによる予期しない要求がトリガーされて、 ブラインド SSRF 攻撃ができる可能性があります。
影響バージョン
- Alfresco Content Services ver. 5.0.x.x - ver. 5.2.7.11
- Alfresco Content Services ver. 6.0.0.x - ver. 6.0.1.9
- Alfresco Content Services ver. 6.1.0.x - ver. 6.1.1.10
- Alfresco Content Services ver. 6.2.0.x - ver. 6.2.2.18
- Alfresco Transform Services - ver.1.3
あなたがすべきこと
サポート対象のバージョン(7.0.1、7.0.0、6.2.2、6.1.1、6.0.1、5.2.7)をご利用の場合
Alfresco Content Services Engineeringチームが問題を確認し、影響を受けるリリースごとに修正プログラム (hotfix) を作成しました。
Alfresco Content Services のセキュリティを強化するために、2つの追加機能の変更が実装されました。
すべてのお客様は、デプロイされたバージョンの Alfresco Content Services に関連する修正プログラムをインストールすることを強くお勧めします。
修正プログラムを実行する前に
修正プログラムをインストールする前に、次の考慮事項を確認してください。
- Alfresco Content Services のセキュリティを強化するために、追加の機能変更が実装されています。そのため、修正プログラムを環境に適用する前に、カスタマイズを確認することをお勧めします。
問題が特定された場合は、修正プログラムを実装する前にカスタマイズを変更する必要がある場合があります。 修正プログラムのインストールを実行する前にカスタマイズについて疑問がある場合は、Alfresco ExtensionInspector を使用してカスタマイズの詳細を確認してください。
修正プログラムのインストールプロセスを開始する前に、既存のデプロイに Alfresco リポジトリと Alfresco データベースのバックアップがあることを確認してください。
修正プログラム入手方法
Hyland Community > Support > Software Downloads の 右側「Technical Support Secure Downloads」枠内の File Name 欄に該当バージョンの 修正プログラムのバージョンのファイル名をコピー&ペーストし、Submit をクリック後に出現するダウンロードリンクから入手できます。
「alfresco-content-services-distribution-6.2.2.19.zip」を入手する例は以下の通りです。
Alfresco Content Services version | 修正プログラムのファイル名 |
---|---|
7.0.1.3 | alfresco-content-services-distribution-7.0.1.3.zip |
7.0.0.3 | alfresco-content-services-distribution-7.0.0.3.zip |
6.2.2.19 | alfresco-content-services-distribution-6.2.2.19.zip |
6.1.1.11 | alfresco-content-services-distribution-6.1.1.11.zip |
6.0.1.10 | alfresco-content-services-distribution-6.0.1.10.zip |
5.2.7.12 | alfresco-content-services-share-distribution-5.2.7.12.zip AND alfresco-content-services-platform-distributionzip-5.2.7.12.zip |
サポート対象外のバージョンをご利用の場合
サポートされていないバージョンでは、修正プログラムは使用できません。
これらのお客様は、本脆弱性に対処し、将来の脆弱性を軽減するために、最新の Alfresco Content Services プラットフォームにアップグレードすることをお勧めします。