F-RevoCRMの脆弱性対応について

こんにちは。シンキングリード株式会社CTOの松田です。

昨年末にF-RevoCRMで脆弱性が発見されました。有志の方が脆弱性のご報告をしていただいて発覚した形になります。jvnにも初めて掲載されることになったため、その流れや対応について記載します。

報告〜調査〜対応の検討

脆弱性のご報告を頂いた直後に、まずは実際に再現するのか、再現する場合は何が原因であるかを調査しました。その後、効果的な対処方法を検討しています。

悪い情報ほど早めに公開しなければなりませんが、対策がない状態で公開してしまうと悪意の有無に関わらず攻撃を仕掛けてくる可能性があり、ユーザの皆様に大変なご迷惑をお掛けすることになります。そのため、まずは事実の確認と対応の検討をしています。

修正パッチのリリース〜脆弱性の公表

今回の脆弱性は単純な修正かつ影響範囲が限定的だったため、すぐに修正と検証を実施してパッチファイルを準備しました。それと平行して公表の準備を行い、パッチのリリース案内と共に公表をしています。

ここまでで約1日です。

今後について

脆弱性はF-RevoCRMに関わらず、どのようなアプリケーションでも発見されるため、脆弱性が発見された時の業務フローと詳細な手順を明確にしておく必要があると改めて認識しました。

特に何か困ったわけではありませんが、毎回私が対応するわけにもいきませんので組織として迅速に対応していくために業務フローと詳細な手順を作成していきます。

また、F-RevoCRMのソースコードは脆弱性対応が一通りされていますが、いくつものオープンソースを組み合わせて作られているため、それらに対しても対策をしていければと考えています。

本件でご迷惑をお掛けした皆様、申し訳ございませんでした。また、ご報告いただきました有志の方に感謝申し上げます。

ご質問・お問い合わせはこちら

メールフォームへ