2024.05.27

Unifier、Unifier Cast の脆弱性に関するご報告 (最終更新日:2024/6/5)

平素より、当社 Flex Work Place 製品をご愛顧いただきありがとうございます。
この度、Unifier、 Unifier Cast にセキュリティ上の脆弱性が発見されました。
ついては、脆弱性対策のための修正プログラムを緊急リリースさせていただきます。

対象となるお客さま
Unifier Version 5.0 以降のバージョンご利用中のお客さま
Unifier Cast をご利用中のお客さま

脆弱性の概要
 ① Cast Launcher に関する脆弱性
 ② coejobhook コマンドに関する脆弱性

脆弱性による影響
これら脆弱性が悪用された場合、LocalSystem 権限で任意のコードを実行される恐れがあります。結果として、不正プログラムのインストール、データの変更や削除などの操作が行われる可能性があります。
なお、2024年5月27日現在、当該の脆弱性を悪用した攻撃の報告はございません。

対策
修正プログラム適用をお願いいたします。

■修正プログラムのダウンロード方法
Flex Work Place ユーザーポータル へサインインしていただき、[メディア・マニュアル] → [ダウンロード] → 規約へ同意のうえ、[規約に同意して次へ] をクリックすることで、ダウンロードページへアクセスできます。

修正プログラムの適用手順
■Unifier Version 5、Unifier Cast Version 5 の場合
「v5 修正プログラム 20240527.zip」をダウンロードいただき、同ファイルに含まれる適用マニュアルに従って適用ください。

■Unifier Version 6、Unifier Cast Version 6 の場合
「v6 修正プログラム 20240527.zip」をダウンロードいただき、同ファイルに含まれる適用マニュアルに従って適用ください。

修正プログラムの適用に際する注意点

・Unifier Version 5、Unifier Cast Version 5 をご利用中のお客さまが本修正プログラムを適用した場合、coejobhook コマンドの一部の機能が使用できなくなります。coejobhook コマンドをご利用中のお客さまはご留意ください。

【coejobhook コマンドとは】
coejobhook コマンドは、Unifier もしくは Unifier Cast の管理者が許可した特定の処理を、標準ユーザー権限から起動するためのコマンドです。 ※ Unifier Version 6、Unifier Cast Version 6 には coejobhook コマンドは実装されていません。

・その他の注意点については、修正プログラムの適用マニュアルをご参照ください。


2024/5/28 追記
Unifier Version 5 および Unifier Cast Version 5 において、スレーブサーバーへの脆弱性の修正プログラムの配布に失敗する事象が発生しております。
現在、原因を調査しております。誠に恐れ入りますがスレーブサーバーをご利用のお客さまにつきましては、スレーブサーバーへの適用を今暫くお控えいただきますようお願い申し上げます。
詳細が分かり次第、本ページにてご案内いたします。

2024/5/31 追記
Unifier Version 5 および Unifier Cast Version 5 において、「Unifier Cast v5 向け脆弱性対応パッチ適用マニュアル」の「1.マスターサーバーへのパッチ適用」- [適用手順①] で「SecurityPatch_forMaster.zip」を任意のフォルダーに配置する際には必ずマスターサーバーの C ドライブ (Windows インストールドライブ) に配置してください。
本修正プログラムを C ドライブ (Windows インストールドライブ) 以外で実行した場合、エラーが発生することがあります。

2024/6/5 追記
2024年5月28日にお知らせしましたスレーブサーバーへの脆弱性の修正プログラム配布の不具合について、調査が終了しました。原因が特定され、スレーブサーバーをご利用のお客様向けに修正プログラムを準備しました。
スレーブサーバーをご利用のお客様は、「UnifierV5_SecurityPatch_スレーブあり.zip」をダウンロードいただき、同ファイルに含まれる適用マニュアルに従って適用ください。
※ スレーブサーバーをご利用のお客様は、「v5 修正プログラム 20240527.zip」は使用しないでください。
この度はご不便とご迷惑をお掛けし、誠に申し訳ございませんでした。

過去のお知らせ