日医標準レセプトソフトにおける脆弱性情報
日医標準レセプトソフトにおいて2件脆弱性情報が発見されましたので、お知らせします。
脆弱性情報◆日医標準レセプトソフトにおける OS コマンドインジェクションの脆弱性
■公開日 2018-07-18 ■最終更新日 2018-07-18 ■概要 日医標準レセプトソフトのバージョン4.8.0および5.0.0において、 OS コマンドインジェクションの脆弱性が存在していることが判明されました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により、日医標準レセプトソフト クライアント(glclient2)が動作しているコンピュータ上でOSコマンドが実行されてしまう 危険性があります。 この問題の影響を受ける日医標準レセプトソフトのバージョンを以下に示しますので、 以下の修正プログラムを適用してください。 ■該当製品の確認方法 影響を受ける製品は以下の製品です。 ・製品名称 日医標準レセプトソフト ・該当バージョン: Ubuntu14.04 日レセ4.8.0(panda-client2)・・・1:1.4.9+p41-u4jma1以前のバージョン Ubuntu14.04 日レセ5.0.0(panda-client2)・・・1:2.0.0+p48-u4jma1以前のバージョン Ubuntu16.04 日レセ5.0.0(panda-client2)・・・1:2.0.0+p48-u5jma1以前のバージョン 使用しているバージョン番号の確認方法は以下の通りです。 ・端末より、以下のコマンドを実行してください。 sudo dpkg -l | grep panda-client2 ■脆弱性がもたらす脅威 脆弱性の悪用には、ユーザの操作が不可欠ですが、警戒されること無く、 OSコマンドの実行が可能です。 ■対策方法 影響を受けるバージョンを利用されている場合は、ミドルウェアの更新をおこなってください。 更新方法は以下のコマンドをおこなってください。 $ sudo apt-get update $ sudo apt-get dist-upgrade ■関連情報 JVN#37376131 日医標準レセプトソフト における OS コマンドインジェクションの脆弱性 ■謝辞 IoT x Security Hackathon 2016 参加者一同よりこの問題をご報告いただきました ■更新履歴 2018-07-18 この脆弱性情報ページ公開 ■連絡先 日本医師会ORCA管理機構 ORCAサポートセンタ 電話:03-5981-8099 (平日:10:00~18:00) メール:support@orca.med.or.jp
脆弱性情報◆日医標準レセプトソフト におけるバッファオーバーフローの脆弱性
■公開日 2018-07-18 ■最終更新日 2018-07-18 ■概要 日医標準レセプトソフトのバージョン4.8.0おいて、バッファオーバーフローの脆弱性が 存在していることが判明されました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により、サービス運用妨害 (DoS) 攻撃を 受けたりする可能性があります。 この問題の影響を受ける日医標準レセプトソフトのバージョンを以下に示しますので、 以下の修正プログラムを適用してください。 ■該当製品の確認方法 影響を受ける製品は以下の製品です。 ・製品名称 日医標準レセプトソフト ・該当バージョン: Ubuntu14.04 日レセ4.8.0(panda-server)・・・1:1.4.9+p41-u4jma1以前のバージョン 使用しているバージョン番号の確認方法は以下の通りです。 ・端末より、以下のコマンドを実行してください。 sudo dpkg -l | grep panda-server ■脆弱性がもたらす脅威 脆弱性の悪用により、メモリ領域が破壊されるため、第三者に任意のコードを実行される可能性があります。 ■対策方法 影響を受けるバージョンを利用されている場合は、ミドルウェアの更新をおこなってください。 更新方法は以下のコマンドをおこなってください。 $ sudo apt-get update $ sudo apt-get dist-upgrade ■関連情報 JVN#66835456 日医標準レセプトソフト におけるバッファオーバーフローの脆弱性 ■謝辞 IoT x Security Hackathon 2016 参加者一同よりこの問題をご報告いただきました ■更新履歴 2018-07-18 この脆弱性情報ページ公開 ■連絡先 日本医師会ORCA管理機構 ORCAサポートセンタ 電話:03-5981-8099 (平日:10:00~18:00) メール:mailto:support@orca.med.or.jp