「T&D Data Server」「THERMO RECORDER DATA SERVER」の脆弱性発見について

「T&D Data Server」ならびに「THERMO RECORDER DATA SERVER」について、下記内容のセキュリティ問題が発見されたため、この問題に対応したバージョンをリリースいたしました。
影響のあるバージョンをご利用のお客様は、セキュリティ問題を解決したバージョンへのアップデートをお願いします。

JPCERTにより弊社に連絡があった脆弱性

• ディレクトリトラバーサル問題

対象ソフトウェア

• T&D Data Server 日本版 Ver.2.22およびそれ以前
• T&D Data Server 英語版 Ver.2.30およびそれ以前
• THERMO RECORDER DATA SERVER 日本版 Ver.2.13およびそれ以前
• THERMO RECORDER DATA SERVER 英語版 Ver.2.13およびそれ以前

脆弱性の影響範囲

対象ソフトウェアが動作している端末に対して、特定のパスを指定してアクセスした場合に、対象ソフトウェアが本来アクセスしない領域に実在するファイル(*1)を、対象ソフトウェアを起動している権限にて参照(*2)することが可能でした。

• *1: 実在ファイルのみが対象。フォルダは実在する・しないに関わらず参照することはできません。
• *2: 参照のみ。変更・移動・削除などは行えない状態です。

脆弱性への対応

• 対象ソフトウェアでアクセスを受け付けた際に、ディレクトリトラバーサル問題を引き起こすパラメータ入力を除去する仕組みの導入。
• 対象ソフトウェアが利用する領域のみアクセス可能とし、それ以外の領域へのアクセスを行わない仕組みの導入。
• 今回発見された脆弱性・問題点以外の脆弱性について再確認を行い、第三者機関による脆弱性チェックを実施。

対策方法

• 対策版のバージョンをご利用ください。
• 対策版のバージョンが利用できない場合、対象ソフトウェアがインストールされている端末へのアクセスについて、信頼できる端末からのアクセスに限定されるよう制限した上でご利用ください。

対策版のバージョン

• T&D Data Server 日本版 Ver.2.31およびそれ以降
• T&D Data Server 英語版 Ver.2.31およびそれ以降
• THERMO RECORDER DATA SERVER 日本版 Ver.2.31およびそれ以降
• THERMO RECORDER DATA SERVER 英語版 Ver.2.31およびそれ以降

最新のT&D Data Serverをダウンロードする

最新のエスペックミック社 THERMO RECORDER DATA SERVERをダウンロードする