アップデート情報(パッケージ版)

2015年2月23日 サイボウズ ガルーン 4.0 Service Pack 1

2015/5/29 「改修された脆弱性」を公開しました。

変更された仕様

ヘルプ

  • ユーザーヘルプを更新。

ポータル

  • 電話メモポートレットの「現在の予定」を表示する際の性能を改善。

書式編集

  • 書式編集を使用して記述されている半角スペースを含むUNCパスを、半角スペースを変換せず、記述されているとおりのパスとして認識するように変更。

ベース

  • Adobe Flash Playerを使用したファイルの一括添付で、パラメーターに設定するURLの記述形式を、絶対パスから相対パスに変更。

改修された不具合

システム設定

  • 10件以上のロールが登録された場合、表示の順番が不規則になる。 [詳細]
  • [IISの現象]システム管理の「動作環境」画面で、環境情報のDOCUMENT_ROOTの値が、「(CGIディレクトリー)/(インストール識別子)/code/doc_root」と表示される。 [詳細]

個人設定

  • ローカライズの一般設定で、ユーザー名を表示する言語が正しく設定されない場合がある。 [詳細]

ポータル

  • 電話メモポートレットがスケジュール(グループ週表示)ポートレットより上部に配置されていると、予定が表示されない場合がある。 [詳細]
  • スケジュール(グループ週表示)ポートレットで日送りまたは週送りボタンをクリックすると、施設のメモが、改行が含まれていても1行で表示されてしまう場合がある。 [詳細]
  • 共有アドレス帳が削除されたあとに、アドレス帳検索ポートレットを表示すると、エラーが発生する場合がある。 [詳細]
  • アプリケーションが使用停止になっていると、任意のポートレットを追加できない場合がある。 [詳細]

スペース

  • ローカライズの「一般設定」画面の「選択可能な言語」に、スペースの表示名に設定した言語が含まれていない場合、エラー(FW00001)が発生し、「カテゴリの変更」画面が表示されない。 [詳細]
  • 「スペースの作成」画面や「スペースの変更」画面などでカテゴリーを選択する際に、親カテゴリーの下に誤ったサブカテゴリーが表示される場合がある。 [詳細]
  • [iOS Safari/Android Chromeの現象]共有ToDoの登録時に担当者を設定しても、ToDoの詳細画面に、設定した担当者が表示されない。 [詳細]

スケジュール

  • 「アプリケーション」の「利用ユーザーの設定」でスケジュールの利用を許可すると、許可されたユーザーの予定の詳細画面に「Web会議」項目が表示されない場合がある。 [詳細]

メール

  • メールをmbox形式で書き出す場合、対象のフォルダーにメールソースを削除したメールが含まれていると、エラー(PHP00002)が発生して書き出しに失敗する場合がある。 [詳細]
  • メール一覧の2ページめ以降に表示されるメールの詳細画面を表示し、前の画面に戻るリンクをクリックすると、メール一覧の先頭ページが表示されてしまう。 [詳細]

デヂエ連携

  • ユーザー情報を同期するコマンドを実行すると、使用方法に誤った内容が表示される。 [詳細]

ワークフロー

  • 初期値を設定していない日付項目を必須項目にすると、申請を作成する際、日付項目に2年前の1月1日が設定される。 [詳細]
  • 承認者が申請の項目の値を変更し、エラーが発生すると、編集した項目の値が元に戻る場合がある。 [詳細]

マルチレポート

  • コメント(フォロー)の添付ファイルを更新する際にエラー(GRN_RPRT_31352)が発生し、「編集中」の状態を解除できなくなる場合がある。 [詳細]

ケータイ

  • 組織図のドロップダウンリストから、次のページへ移動しようとすると、エラー(GRN_CMMN_00106)が発生する場合がある。 [詳細]

認証

  • ログイン認証に環境変数認証が設定されていると、予定を登録する際にエラーが発生する場合がある。 [詳細]

モバイル表示

  • [iOS 8 Safari/Android Chromeの現象]モバイル表示で画面をスクロールすると、意図に反して、画面上部に移動してしまう場合がある。 [詳細]

ベース

  • [iOS 8 Safariの現象]ポップアップで表示される削除の確認画面で、[はい]ボタンが動作しない場合がある。 [詳細]
  • メッセージや掲示などをファイルに出力する場合、文字コードに簡体字中国語(GB2312)を指定すると、書き出した内容が文字化けする。 [詳細]
  • CSVファイルの読み込みや書き出しを行う場合、文字コードに簡体字中国語(GB2312)を指定すると、読み込みまたは書き出した内容が文字化けする。 [詳細]

連携 API

  • BaseGetUsersByIDが返す値が、リクエスト順ではなく表示優先度の順になる。 [詳細]
  • ScheduleAddEventsを使用して繰り返し予定を登録する際、施設の予定が重複していると、エラーが発生し、予定を登録できない場合がある。 [詳細]
  • 登録者が削除された予定をScheduleModifyEventsで変更しようとすると、エラーが発生し、処理に失敗する場合がある。 [詳細]

その他

  • ユーザーの名前に「英語表記」を設定しても、次の項目で、ユーザー名が常に「標準」に設定している名前で表示される。
  • メール通知
    • スケジュール:参加者
    • ワークフロー:申請者
    • 電話メモ:発信者
  • CSVファイルへの書き出し
    • ワークフロー:申請者名、および経路ステップに設定されている処理者
    • マルチレポート:作成者、および参加者
    • タイムカード:ユーザー名
  • 補足:
    • この不具合の改修後、ユーザー名は次のように表示されます。
      • メール通知を受信するユーザーや、CSVファイルを書き出すユーザーが設定している言語(*1)と、ユーザー情報の標準の名前の言語が同じ場合:
        「標準」に設定されている名前が表示されます。
      • 上記以外:
        「英語表記」に設定されている名前が表示されます。
  • *1:ユーザーが設定している言語は、次の優先順位で、ユーザー情報の「標準」の名前の言語と比較されます。
    • 1.[個人設定] > [ローカライズ] > [一般設定] の、「ユーザー名を表示する言語」に設定している言語
    • 2.ヘッダーの[(ユーザー名)] > [言語とタイムゾーン]の「言語」に設定している言語(*2)
  • *2:「Webブラウザーの設定に従う」を設定している場合、メール通知のユーザー名には、システム管理者が次の項目に設定している言語が適用されます。
    • システム管理の [基本システムの管理] > [ローカライズ] > [一般設定] の、「ロケールの初期値」の言語

改修された脆弱性

レベルIII(危険)

  • 該当なし

レベルII(警告)

個人設定

  • [CyVDB-671]個人設定に関する操作制限回避の脆弱性[詳細]

ポータル

  • [CyVDB-691]メールポートレットに関する閲覧制限回避の脆弱性[詳細]

スケジュール

  • [CyVDB-562][CyVDB-564]予定の調整に関するSQLインジェクションの脆弱性[詳細]

タイムカード

  • [CyVDB-701]タイムカードに関する操作制限回避の脆弱性[詳細]
  • [CyVDB-554]タイムカードに関する不適切な入力確認の脆弱性[詳細]

メール

  • [CyVDB-632]メールに関するクロスサイトスクリプティングの脆弱性[詳細]
  • [CyVDB-635]メールに関する閲覧および操作制限回避の脆弱性[詳細]
  • [CyVDB-531]メールヘッダインジェクションの脆弱性[詳細]
  • [CyVDB-529]メールに関するクロスサイトスクリプティングの脆弱性[詳細]
  • [CyVDB-678]メールに関するクロスサイトスクリプティングの脆弱性[詳細]

RSSリーダー

  • [CyVDB-672]RSSリーダーに関するRSSスクリプトインジェクションの脆弱性[詳細]

マルチレポート

  • [CyVDB-594]マルチレポートに関するSQLインジェクションの脆弱性[詳細]
  • [CyVDB-593]マルチレポートに関するSQLインジェクションの脆弱性[詳細]

連携 API

  • [CyVDB-590][CyVDB-592]APIに関するSQLインジェクションの脆弱性[詳細]
  • [CyVDB-723]SOAP APIに関する不適切な入力確認の脆弱性[詳細]

その他

  • [CyVDB-576]日付指定カレンダーに関するクロスサイトスクリプティングの脆弱性[詳細]

レベルI(注意)

ユーザー

  • [CyVDB-773]Myグループに関するクロスサイトスクリプティングの脆弱性[詳細]

リンク集

  • [CyVDB-549]リンク集に関するクロスサイトスクリプティングの脆弱性[詳細]

スケジュール

  • [CyVDB-670]スケジュールに関する不適切な入力確認の脆弱性[詳細]

ファイル管理

  • [CyVDB-551]ファイル管理に関する閲覧制限回避の脆弱性[詳細]

メール

  • [CyVDB-526]メールに関するクロスサイトスクリプティングの脆弱性[詳細]

通知一覧

  • [CyVDB-595]通知一覧に関する操作制限回避の脆弱性[詳細]

ベース

  • [CyVDB-677]ユーザー名簿に関するクロスサイトスクリプティングの脆弱性[詳細]
  • [CyVDB-591][CyVDB-746][CyVDB-772]削除処理に関するクロスサイトスクリプティングの脆弱性[詳細]
  • [CyVDB-570]アプリケーションメニューに関するクロスサイトスクリプティングの脆弱性[詳細]

その他

  • [CyVDB-659][Windows版の現象]スケジューリングサービスのハンドルが解放されない場合がある。[詳細]