プリザンターにおけるImageSharpの脆弱性について
■概要
弊社製品「プリザンター」が使用しているライブラリの影響で、一部のバージョンに脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意のある画像をアップロードすることでサービス拒否(DoS)につながる可能性があります。この問題の影響を受けるプリザンターのバージョンを以下に示しますので、対策方法に記載する対応を実施してください。
■該当バージョンの確認方法
影響を受けるバージョンは以下の通りです。・1.3.48.0 以降 1.4.6.3 までのバージョンを使用している場合
※Community Edition、Enterprise Editionどちらも該当します。
※1.2版、1.1版、0.51版、0.50版、0.49版以前は該当いたしません。
・バージョンの確認方法は以下のユーザマニュアルを参照願います。
「FAQ:プリザンターのバージョンを確認したい」
https://pleasanter.org/manual/faq-version
■脆弱性の説明
ImageSharp gif デコーダーに境界外書き込みの脆弱性が発見され、攻撃者は特別に細工された gif を使用してクラッシュを引き起こす可能性があります。 この脆弱性は、サービス拒否につながる可能性があります。■脆弱性がもたらす脅威
悪意のあるGIF画像ファイルがあれば、比較的容易に攻撃者によるサービス拒否攻撃を引き起こすことができます。外部の不正なサイトへの誘導やプリザンターに登録しているデータの情報漏洩や改ざんの危険性はないため、情報漏洩や改ざんのリスクは低いと考えられます。
詳細はGitHub Advisoryを参照してください。
・[GHSA-63p8-c4ww-9cg7]
https://github.com/advisories/GHSA-63p8-c4ww-9cg7
■対策方法
・バージョン 1.3.48.0 以降 1.4.6.3 までをご利用のお客様対策済の最新版である1.4.6.4以降(2024年7月23日リリース)にバージョンアップをしてください。
※バージョンアップをせずに対策するための個別パッチの提供はございません。
・専用環境ご利用のお客様
別途スケジュール調整の上速やかにバージョンアップいたします。(再起動が必要です)
■更新履歴
2024.7.26 この脆弱性情報を公開しました。■連絡先
本件に関するお問い合わせはこちら株式会社インプリム
お問い合わせ総合窓口:https://pleasanter.org/contact
住所:〒164-0001 東京都中野区中野2-30-5 中野アーバンビル3F