Interstage Apworksに付属するホームページ・ビルダーのCGI サンプルプログラムにおけるOSコマンドインジェクションの脆弱性 (2007年6月11日)

1.背景と問題点

「3. 該当システム・パッチ情報」の「製品名」に記載している製品は、「IBM ホームページ・ビルダー V6.5 with HotMedia for Interstage Apworks」を同梱しています。この「IBM ホームページ・ビルダー」に付属するCGIのサンプルに、OS コマンドインジェクションの脆弱性が存在します。

関連情報「JVN#81294906: ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性」
JVN:http://jvn.jp/jp/JVN81294906/index.html
富士通:http://software.fujitsu.com/jp/security/vulnerabilities/jvn-81294906.html

Interstage Apworksについては以下のページを参照してください。
http://interstage.fujitsu.com/jp/apworks/
Interstage製品については以下のページを参照してください。
http://interstage.fujitsu.com/jp/products/

2. 一時的な回避方法

ありません。

3. 該当システム・パッチ情報

該当システム

PRIMERGY, GP5000, CELSIUS, FMV-PRO, FMV


製品名	対象OS	パッケージ名	Patch ID
Interstage Application Framework Suite Standard Edition V7.0L10	Windows 2000 Server/ Server 2003	-	(注1)
Interstage Application Framework Suite Standard Edition V7.0L11	Windows 2000 Server/ Server 2003	-	(注1)
Interstage Application Framework Suite Standard Edition 7.0	Solaris	-	(注1)(注2)
Interstage Application Framework Suite Enterprise Edition 7.0.1	Solaris	-	(注1)(注2)
Interstage Application Framework Suite Standard Edition 7.0.2	Solaris	-	(注1)(注2)
Interstage Application Framework Suite Standard Edition V7.0L10	RHEL-AS3/ RHEL-ES3	-	(注1)(注2)
Interstage Application Framework Suite Standard Edition V7.0L11	RHEL-AS3/ RHEL-ES3	-	(注1)(注2)
Interstage Application Server Plus Developer V5.0L20	Windows NT 4.0/ 2000/ XP	-	(注1)
Interstage Application Server Plus Developer V6.0L10	Windows NT 4.0/ 2000/ XP	-	(注1)
Interstage Application Server Plus Developer V7.0L10	Windows 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V5.0L10	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Standard Edition V5.0L10	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Web Edition V5.0L10	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V5.0L20	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Standard Edition V5.0L20	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Web Edition V5.0L20	Windows 95/ 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V6.0L10	Windows 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Modelers-J Edition V6.0L10	Windows NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Standard Edition V6.0L10	Windows 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V6.0L10A	Windows 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Modelers-J Edition V6.0L10A	Windows NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Standard Edition V6.0L10A	Windows 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V6.0L10B	Windows 98/ Me/ NT 4.0/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition V7.0L10	Windows 98/ Me/ 2000/ XP	-	(注1)
Interstage Apworks Modelers-J Edition V7.0L10	Windows 2000/ XP	-	(注1)
Interstage Apworks Standard Edition V7.0L10	Windows 98/ Me/ 2000/ XP	-	(注1)
Interstage Apworks Enterprise Edition 8.0.0	Windows 2000/ XP	-	(注1)
Interstage Apworks Standard-J Edition 8.0.0	Windows 2000/ XP	-	(注1)
Interstage Apworks Standard-J Edition 8.0.1	Windows 2000/ XP	-	(注1)

(注1) IBM社が提供しているサンプルCGI修正プログラムは、同梱のホームページ・ビルダーには適用できません。IBM社が公開している「ホームページ・ビルダーのサンプル CGI の修正方法」に沿って、対象ファイルを編集してください。
対処方法：http://www-06.ibm.com/jp/software/internet/hpb/security/hpbcgifix_20070514/hpbcgifix.html#02

(注2) 対象OSにSolarisやRHEL-AS3/ RHEL-ES3の製品がありますが、同梱しているホームページ・ビルダーはWindows版です。

4. 改版履歴

2007年6月11日新規掲載

ページの先頭へ