ClickSoftware

Commerce Cloud

Experience Cloud

Heroku

Hyperforce

Marketing Cloud

MuleSoft

Pardot

Quip

Sales Cloud

Salesforce コア

Salesforce Einstein

Service Cloud

Slack

Tableau

2021 年 10 月 4 日の CERT Coordination Center の注意喚起 (VU#883754) への対応 

Salesforce Developer Experience Command Line Interface の設定

ADV-2021-017

ADV-2021-016

2021 年 10 月 24 日の Microsoft ブログ投稿への対応

クラウドサービス、サプライチェーンを標的とする Nobelium 攻撃

2022 年 3 月に公開された Spring4Shell の脆弱性

Spring4Shell セキュリティ更新

Heroku に接続された GitHub リポジトリの問題

Heroku のセキュリティに関するお知らせ

Tableau Server で個人アクセストークンが内部ログリポジトリに記録される

Tableau セキュリティ更新

Tableau Server の破損したアクセス制御の脆弱性

CVE-2022-22127

マルウェアが Salesforce ユーザーを標的にする可能性がある。

TrickBot / The Trick

Windows の「Eternal Blue」という脆弱性を標的にするランサムウェア。

WannaCry ランサムウェア

フィッシングリンクを含む Google ドキュメントへの招待。

Google ドキュメントのフィッシング攻撃

Tableau ギャラリーで使用される Oracle NetSuite および SAP SuccessFactors コネクタにより Tableau オンプレミスユーザーのログインフラストラクチャのサブセットに機密データが保存される場合がある  

Oracle NetSuite および SAP SuccessFactors コネクタの問題

2021 年 12 月 10 日に公開された Apache Log4j2 の脆弱性

Apache Log4j2 の脆弱性

MS17-010 (別名 EternalBlue) 脆弱性を活用するマルウェア

MS17-010 脆弱性 (別名 EternalBlue)

埋め込みコンテンツ配信ネットワークとインターネットセキュリティサービスのプロバイダである Cloudflare は、HTTP Cookie、認証トークン、HTTP POST 本文などの情報を公開する可能性があるエッジサーバーのセキュリティ脆弱性を開示しました、

Cloudflare の脆弱性

Twitter アカウントアクティビティ API の脆弱性

Twitter アカウントアクティビティ API

組織が情報セキュリティインシデントの影響を受ける場合、組織のセキュリティ担当者に通知されます。

組織のセキュリティ担当者の管理

Mule Runtime および API ゲートウェイでのリモートコードの実行

CVE-2019-15631

Salesforce が経験していない重大なビジネスへの影響

COVID-19 ビジネスの継続性に関する声明

Mule Runtime でのサービス拒否の脆弱性

CVE-2020-6937

MuleSoft Runtime でのディレクトリトラバーサル

CVE-2019-15630

Tableau Server での機密情報開示の脆弱性

CVE-2020-6938

Salesforce Sites および Communities に影響を与えるセキュリティ脆弱性

Salesforce のセキュリティ脆弱性

ログに含まれる Tableau Server の機密値

ADV-2020-046

サーバーが再起動されるまで一部の権限変更が有効にならない

ADV-2020-047

Salesforce テーマを使用するフィッシング攻撃

フィッシング攻撃

Tableau Server のログに Webhook の URL が含まれる

ADV-2020-045

外部サービスの接続でホスト名の検証に失敗する

ADV-2020-044

ログファイルの場所に含まれる Tableau Server の機密値

ADV-2020-048

デフォルトの共有設定への潜在的な影響

コミュニティユーザー、ポータルユーザーのセキュリティの強化

リポジトリに含まれるプレーンテキストのデータソースの秘密

ADV-2020-049

REST API でサイト設定値が、認証されていないユーザーに返される

ADV-2020-050

Tableau 製品の整数のオーバーフロー

ADV-2020-051

ADV-2020-053

Tableau Server では Web ゾーンで外部 Web ページが許可される

ADV-2020-052

Tableau Desktop ではプレーンテキストの秘密が設定ファイルに保存される

ADV-2020-054

認証されていない API エンドポイント

CVE-2020-6939

一時ファイルのファイルパスの開示

ADV-2020-057

ADV-2020-056

ログファイルに含まれるデータベースログイン情報

ADV-2020-055

Tableau による QtWebEngine の脆弱性の修正

ADV-2020-059

デフォルト Tableau Server インストールでの脆弱なフォルダ権限

ADV-2020-060

Tableau 製品での権限のエスカレーション

ADV-2020-058

デフォルト以外の Tableau Server インストールでの脆弱なフォルダ権限

ADV-2020-061

Tableau Server で Postgres リポジトリパスワードが記録される

ADV-2021-005

ADV-2021-004

IPv6 ネットワークでの認証のスキップ

ADV-2021-003

映し出されたエラーメッセージコンテンツの挿入

ADV-2021-001

ADV-2021-002

データベースパスワードがデバッグログに記録される

ADV-2021-007

連邦政府と Fortune 500 企業がサプライチェーン攻撃によって侵害される

SolarWinds ソフトウェアのセキュリティ侵害

ADV-2021-008

Tableau Server の開かれたリダイレクト

ADV-2021-010

Mule Runtime でのサーバーサイドリクエストフォージェリ

CVE-2021-1627

Tableau Server でのサービス拒否の脆弱性

ADV-2021-011

2021 年 3 月 2 日に公開された Microsoft Exchange Server の脆弱性 

Microsoft Exchange Server の脆弱性

ADV-2021-009

Bash Uploader ユーザーの秘密が攻撃者によって侵害される

Codecov Bash Uploader のセキュリティ侵害

ADV-2021-013

メールの HTML インジェクション

ADV-2021-012

2021 年 7 月 2 日の Kaseya VSA ランサムウェア攻撃


Kaseya ランサムウェア攻撃

Mule Runtime でのリモートコードの実行の脆弱性

CVE-2021-1626

初期 SQL を使用するときの不適切なデータキャッシュアクセス制御

ADV-2021-015

設定内で一部の秘密が暗号化されない

ADV-2021-006

2021 年 8 月 10 日の Varonis ブログ投稿への対応

Salesforce サイトおよびコミュニティのゲストユーザーアクセス制御権限の設定

Mule Runtime での XML 外部エンティティ (XXE) の脆弱性

CVE-2021-1628

CVE-2021-1630

Tableau Server 管理エージェントに影響を与える問題

CVE-2022-22128

お客様が Salesforce 製品のセキュリティ評価を実施する前に、事前の承認を得る必要がなくなりました。

セキュリティ評価

脆弱性は、MOVEit のファイル転送製品および環境への不正アクセスにつながる可能性があります。現時点で Salesforce の顧客データへの影響はありません。6 月 16 日、重要度の高い追加の脆弱性 (末尾 708) が発表されました。7 月 5 日、末尾 932、933、934 の CVE が発表されました。

CVE-2023-34362、CVE-2023-35036、CVE-2023-35708、CVE-2023-36932、CVE-2023-36933、CVE-2023-36934

Tableau Python サーバー (TabPy) のインストールは、認証なしで任意の Python コードを実行するように設定できます。影響を受ける製品: TabPy 2.8.0 以前のバージョン

Salesforce の tough-cookie オープンソース NPM プロジェクトに影響する JavaScript の脆弱性。悪意のある行為者が Cookie データをグローバル名前空間にアタッチできる可能性があります。

CVE-2023-26136

サーバーサイドリクエストフォージェリの脆弱性。悪意のある行為者が Tableau Server のインスタンスに認証され、ホストされた顧客データにアクセスできる可能性があります。

Tableau のセキュリティに関するお知らせ

Salesforce は CVE-2023-46604 の潜在的な影響について積極的に調査し、必要に応じて緩和策を実施しています。Salesforce は引き続き脆弱性管理プロセスに従い、顧客データへの不正アクセスの証拠を発見した場合は、影響を受ける関係者に遅滞なく通知します。

CVE-2023-46604

2023 年 11 月 2 日に、Salesforce のセキュリティは、Apache ActiveMQ クライアントに影響を及ぼすリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 についての通知を受けました。

2023 年 5 月 11 日に、Advanced Server Access (ASA) プログラムを通じて、ローカルファイルインクルード (LFI) のセキュリティ脆弱性が報告されました。


オンプレミスの Tableau Server に影響するローカルファイルインクルード (LFI) の脆弱性

Salesforce セキュリティによって、Tableau のフローエディター機能のメール通知機能に影響する脆弱性が発見されました。この問題により、認証済みユーザーがお客様の Tableau Server インスタンスで任意のコマンドを実行できる可能性がありました。CVSSv3 スコアを 9.1 としました。

Tableau Server の一部のバージョンに影響するローカルファイルインクルード (LFI) の脆弱性

セキュリティ機能を強化し、無料トライアル組織の不正使用を防止するために、2024 年 10 月 8 日に、Core CRM 製品トライアルのユーザーが送信するメール機能を一時的に無効にしました。これには、アクティブ利用者やその他の Salesforce 製品は含まれません。



ユーザーのメール機能の一時的な停止

Tableau では、特定の値をクエリに含めるか除外するかを指定するフィルター機能を使用して、データベース項目に行レベルのアクセスコントロールを実装できます。アクセスコントロールの不具合により、影響を受けるバージョンでは、最初にフィルターした後で新しい値を項目に追加した場合に、フィルター圧縮機能が有効になっているワークブック項目がデータ視覚化で公開されます。Tableau は 11 月のメンテナンスリリースで、Tableau Cloud および Tableau Server のフィルター圧縮機能をデフォルトで無効にしました。

 

Tableau の行レベルのアクセスコントロールに関するセキュリティの問題

Salesforce strongly recommends that customers transition from RSA key exchanges to TLS 1.3 to enhance the security and efficiency of network communications. 

Transition from RSA Key Exchanges to TLS 1.3

User accounts without multi-factor authentication (MFA), IP restrictions, and/or that use weak credentials are at risk of being compromised by bad actors. See the Help article attached for an overview on how you can use customizable settings or implement Shield Event Monitoring to protect your user accounts. 

セキュリティアドバイザリ