BuildVuにおける深刻な脆弱性に関するセキュリティ勧告
概要:BuildVu で変換された PDF ドキュメントの添付ファイルを提供する際のリモートコード実行
影響を受けるバージョン:2019.02 から 2021.09 まで
バージョン確認方法:
https://www.intwk.co.jp/knowledge-base/check-the-version-of-buildvu/
説明:
BuildVuで変換するPDFファイルに、添付ファイルが含まれている場合にBuildVuはこれらの添付ファイルを出力に含めます。添付ファイルは、ASP、PHP、CGI、JSPなど、Webサーバーで実行されるように設計されたファイルである可能性があります。
これらの添付ファイルはそのままサーバーにアップロードされWeb サーバーで提供されると、このようなファイルはサーバーによって実行される可能性があります (サーバーの構成に依存します)。
したがって、悪意のある添付ファイルを含むPDFファイルを構築し、それが提供されると、悪意のある人物はリモートでサーバー上で任意のコードを実行することができます。
これまでに変換したファイルも含む対応方法は以下の通りです:
オプション1:BuildVu 2021.11へのアップグレードを実行し、ファイルを変換する
BuildVu 2021.11では、添付ファイルがサニタイズされ(元のファイル名と拡張子が取り除かれ)、Webサーバーでは実行されないようになりました。
IDRViewerでは、添付ファイルにa[download]属性を使用してダウンロードのファイル名を設定できるようになりました。
https://developer.mozilla.org/en-US/docs/Web/HTML/Element/a#attr-download
オプション2:サーバー上でサーバーサイドスクリプトを無効にする
ほとんどのWebサーバーでは、ディレクトリ単位でスクリプトを無効にすることができます。
http://docs.php.net/manual/en/apache.configuration.php#ini.engine
CDNホスティングソリューションの中には、この脆弱性の影響を全く受けないものもあります。
オプション3:添付ファイルの削除
添付ファイルは、常にattachmentsという名前のディレクトリに保存されます。この名前に一致するすべてのディレクトリを削除することで、既存のドキュメントにおけるリスクを排除することができます。