1. 概要
astah*製品のWindows向けインストーラ(exe版)に、問題があることが確認されました。
現在配布されている対処済みである最新のインストーラをお使いください。
なお、既にインストール済みで利用されている場合には、今回の問題が影響しませんので、そのままお使いください。
確認された問題:
DLLハイジャックと呼ばれるもので、次の問題がありました。
悪意のある細工されたDLLが意図せずPCに配置されている場合に、そのDLLがインストーラと同一フォルダに存在する状態でインストーラを実行した場合、DLL内に組み込まれている任意の処理が実行され得る問題です。
2. 対象製品
- 対象エディション:
- 対象バージョン:
- astah* professional, UML, Viewer:バージョン8.1以前のすべてのバージョン
- astah*SysML:バージョン1.5以前のすべてのバージョン
- astah* GSN:バージョン1.2以前のすべてのバージョン
- astah* think!:バージョン4.0以前のすべてのバージョン
- 対象インストーラ形式:
Windows向け実行形式インストーラ(exe版)
3. 対策
2019年12月5日に、現在公開中の全製品のインストーラを、対応版に差し替えました。
再インストール用にWindows向け実行形式インストーラ(exe版)を保管されている方は、下記の対策を実行してください。
やむを得ず古いバージョンのインストーラを使う場合は、インストーラと同一フォルダに不明なDLLファイルがないことを確認してインストールください。
astah* professional・UML・Viewer v.8.2以降のインストーラをお持ちの方
astah* professional・UML v.8.1、8.0、7.2のインストーラをお持ちの方
- 保存しているインストーラを削除してください。
- ダウンロードページより、インストーラをダウンロードし直してください。
尚、リリース日より3年を経過した製品は、当該バージョン版のダウンロードの提供を終了いたします。
astah* professional・UML v.7.1以前のインストーラをお持ちの方
- お持ちのインストーラを実行する際は、インストーラを含むフォルダに不明なDLLが存在しないことを確認してから行ってください。
(サポート終了版のため、当脆弱性に対応したインストーラの差替えはございません。)
astah* Viewer v8.1以前のインストーラをお持ちの方
- 保存しているインストーラを削除してください。
- Viewerページより、当脆弱性に対応した最新版をダウンロードし直してください。
astah* SysML v.1.5のインストーラをお持ちの方
- 保存しているインストーラを削除してください。
- ダウンロードページより、インストーラをダウンロードし直してください。
astah* SysML v.1.4以前のインストーラをお持ちの方
astah* GSN v.1.2のインストーラをお持ちの方
- 保存しているインストーラを削除してください。
- ダウンロードページより、インストーラをダウンロードし直してください。
astah* GSN 1.1以前のインストーラをお持ちの方
astah* think!のインストーラをお持ちの方
- 保存しているインストーラを削除してください。
- ダウンロードページより、当脆弱性に対応した最新版をダウンロードしてご利用ください。
7. 問い合わせ
本件に関するお問い合わせは、
問合せフォームよりご連絡ください。
