こんにちは、長峯です。

つい先日Redmineの脆弱性についてIPAから注意喚起されましたね。これはどうやら、Redmine 1.3.2よりも以前のバージョンの場合にWebブラウザ上で悪意のあるスクリプトを実行することによって容易にクロスサイトスクリプティングが行えることから起こることのようです。これは、インターネット上から匿名、もしくは認証を行わずにRedmineへ攻撃が可能で高度な専門知識がなくとも攻撃可能です。主に、ユーザーの特定のコンテンツへのアクセスによるクリック・ファイルの観覧の実行によって行われます。これによって、データの完全性に部分的な影響を及ぼす可能性があります。また、ほぼ同時にSafariにも複数の脆弱性が見つかりました。これもまた、認証情報などの情報漏洩やDoS攻撃の対象になり、どちらも使っている場合外部からの盗聴や不正アクセスによるRedmineへの攻撃、悪性のスクリプトの埋め込みなどが行われる可能性も否定できないかもしれません。しかし、これらは既にアップデートによる修正が行える状態にあるため、アップデートを行うことで未然に防ぐことができます。これらを防ぐ為にも、まだアップデートをしていない場合はなるべく早くしておく方が安全ですね。