BuildVuにおける深刻な脆弱性に関するセキュリティ勧告

作成日:2021年11月5日

最終更新日:2021年11月5日

BuildVuで変換するPDFファイルに、添付ファイルが含まれている場合にBuildVuはこれらの添付ファイルを出力に含めます。添付ファイルは、ASP、PHP、CGI、JSPなど、Webサーバーで実行されるように設計されたファイルである可能性があります。

これらの添付ファイルはそのままサーバーにアップロードされWeb サーバーで提供されると、このようなファイルはサーバーによって実行される可能性があります (サーバーの構成に依存します)。

したがって、悪意のある添付ファイルを含むPDFファイルを構築し、それが提供されると、悪意のある人物はリモートでサーバー上で任意のコードを実行することができます。

オプション1：BuildVu 2021.11へのアップグレードを実行し、ファイルを変換する

BuildVu 2021.11では、添付ファイルがサニタイズされ（元のファイル名と拡張子が取り除かれ）、Webサーバーでは実行されないようになりました。

IDRViewerでは、添付ファイルにa[download]属性を使用してダウンロードのファイル名を設定できるようになりました。

https://developer.mozilla.org/en-US/docs/Web/HTML/Element/a#attr-download

オプション2：サーバー上でサーバーサイドスクリプトを無効にする

ほとんどのWebサーバーでは、ディレクトリ単位でスクリプトを無効にすることができます。

http://docs.php.net/manual/en/apache.configuration.php#ini.engine

CDNホスティングソリューションの中には、この脆弱性の影響を全く受けないものもあります。

オプション3：添付ファイルの削除

添付ファイルは、常にattachmentsという名前のディレクトリに保存されます。この名前に一致するすべてのディレクトリを削除することで、既存のドキュメントにおけるリスクを排除することができます。

はじめに