サイト内の現在位置

Tableau Desktop / Serverの脆弱性について

Tableau(タブロー)・サポート・重要なお知らせ

2018年5月24日

米国 西海岸時間の5/17付けで、Tableauのグローバルテクニカルサポートよりセキュリティ脆弱性(ADV-2018-010)に関する情報が発信されました。

事象

あるバージョンのTableau Serverで、パブリッシュ権限を持つ悪意のあるユーザーが、悪意のあるコードを含むワークブックをパブリッシュすることで生じる脆弱性があることが分かりました。

この脆弱性は、Tableau Serverのサービスアカウント(Windowsの“Run As User”アカウント、Linuxの“tableau”システムユーザー)で、当該コードを実行させてしまう、というものです。

信用できない(untrusted)パブリッシャーが使うことのできるサイトが、もっともリスクが高いです。
Tableau Desktopでも、悪意のあるコードを含むワークブックをユーザーが開くことで生じる脆弱性があります。
Tableau OnlineとTableau Publicコミュニティープラットフォームは、この脆弱性の影響を受けません。

影響度:大

リモートコードの実行が可能となるため、結果としてTableau Server、Tableau Desktopの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)に影響を与えます。
また、この脆弱性により、Tableau Server上の一つのサイトにいる悪意のあるユーザーが、同一コンピューターで実行されているTableau Serverの他のサイトを侵害することができます。

Tableau Desktopの場合、悪意のあるコードを含むワークブックを開けたユーザーのセキュリティコンテキストで、当該コードが実行されます。

対象製品

対象製品

  • Tableau Desktop(Tableau Desktop Public Edition、Tableau Readerを含む)
  • Tableau Server

対象バージョン

  • Tableau Server on Linux: 10.5.3 およびそれ以前のもの
  • Tableau Server on Linux: 2018.1.0 およびそれ以前のもの
  • Tableau Server on Windows: 9.2.23 およびそれ以前のもの
  • Tableau Server on Windows: 9.3.21 およびそれ以前のもの
  • Tableau Server on Windows: 10.0.17 およびそれ以前のもの
  • Tableau Server on Windows: 10.1.16 およびそれ以前のもの
  • Tableau Server on Windows: 10.2.12 およびそれ以前のもの
  • Tableau Server on Windows: 10.3.10 およびそれ以前のもの
  • Tableau Desktop 9.2.23 およびそれ以前のもの
  • Tableau Desktop 9.3.21 およびそれ以前のもの
  • Tableau Desktop 10.0.17 およびそれ以前のもの
  • Tableau Desktop 10.1.16 およびそれ以前のもの
  • Tableau Desktop 10.2.12 およびそれ以前のもの
  • Tableau Desktop 10.3.10 およびそれ以前のもの

以下のバージョンおよび製品は脆弱性はありません。

  • Tableau Desktop 10.4, 10.5 and 2018.1 on Windows or Mac
  • Tableau Server on Windows 10.4.x
  • Tableau Server on Windows 10.5.x
  • Tableau Server on Windows 2018.1

対応方法

恒久対策:5/17付けでリリースされた以下の最新リリースへのアップグレード

  • Tableau Server on Windows: 9.2.24, 9.3.22, 10.0.18, 10.1.17, 10.2.13, 10.3.11
  • Tableau Server on Linux: 2018.1.1, 10.5.4
  • Tableau Desktop: 9.2.24, 9.3.22, 10.0.18, 10.1.17, 10.2.13, 10.3.11

下記URLよりダウンロードが可能です。

アップグレードができない場合は、件名に「ADV-2018-010」を入力した上、サポート窓口宛にお問い合わせいただきますようお願い致します。
個別にご案内をさせていただきます。

お問い合わせ先

Tableauサポート窓口:tableau-support@nes.jp.nec.com

お問い合わせ・ダウンロード