2022.06.27

[Passage Drive]Passage Drive 任意のコード実行の脆弱性に関するご報告

平素より、当社Flex Work Place製品をご愛顧いただきありがとうございます。

この度、Passage Driveにセキュリティ上の脆弱性が発見されました。

脆弱性の対策を反映したバージョンを緊急リリースさせていただきます。
速やかにPassage Drive v1.5.1.1へのアップデートをお願いいたします。
ご利用のお客さまにおかれましては、ご不便とご迷惑をお掛けし申し訳ございません。

対象バージョン
Passage Drive v1.4.0以降

脆弱性のご説明
Passage Drive v1.4.0以降にOSコマンドインジェクションの脆弱性が見つかりました。

影響
この脆弱性が悪用された場合、LocalSystem権限で任意のコードを実行される恐れがあります。
これにより、悪意のあるユーザーが不正プログラムのインストール、データの変更や削除など、LocalSystem権限でコンピュータを任意に操作される可能性があります。
2022年6月27日現在、本脆弱性を悪用した攻撃の報告はございません。

対策
以下のバージョンへのアップデートをお願いいたします。
Passage Drive v1.5.1.1
Passage Drive for Box v1.0.1

ダウンロード
Flex Work Place ユーザーポータル(https://www.flexwp.yrl.com/)へサインインしていただき、[メディア・マニュアル]→[ダウンロード]→規約へ同意のうえ、[規約に同意して次へ]をクリックすることで、ダウンロードページへアクセスできます。

バージョンアップの手順
■管理サーバーを導入済みの場合
 マネジメントフォルダーを利用したアップデートを実施ください。
 詳細は『Passage Drive 導入運用ガイド 管理サーバー編』をご確認ください。

■管理サーバーがない場合
 以下のいずれかのアップデート方法でアップデートを実施ください。

  1. オンラインアップデート
    スタンドアロン環境の場合は既定ではオンラインアップデートとなります。
    詳細は『Passage Drive 導入運用ガイド スタンドアロン編』-『第3章 バージョンアップ』-『オンラインアップデートについて』をご参照の上、アップデートを実施ください。
  2. マニュアル記載の手動アップデート
    手動アップデート用のファイルセットを作成して実行する場合、『Passage Drive 導入運用ガイド スタンドアロン編』-『第3章 バージョンアップ』-『手動アップデート』をご参照の上、アップデートを実施ください。
  3. 本お知らせ記載の手動アップデート
    以下のリンクをご参照いただき、手動アップデートを実施ください。
    Passage Drive v1.5.1.1のアップデータをダウンロードし、手動でアップデートする方法はありますか?

------------------------------------------------------------------------------
本件に関するお問い合わせは、以下の窓口宛にお願い致します。

横河レンタ・リース株式会社 Flex Work Place サポート
TEL: 0120-566-035 (9:00-17:00)
E-mail: flexwp_support@yrl.co.jp (9:00-17:30)
土日祝日、年末年始 (12月29日-1月4日) および当社指定休業日を除く

過去のお知らせ