Internet Navigware: 任意のユーザアカウントを登録できる問題 (2005年6月16日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点：	許可していないのに任意のユーザアカウントを登録できる問題
製品提供元：	富士通株式会社
該当製品：	対象OS 製品名 Windows 2000 Server Internet Navigware Server Enterprise Edition V8.0L10 Windows Server 2003 Internet Navigware Server Enterprise Edition V8.0L10 Solaris 8 Internet Navigware Server Enterprise Edition 8.0 Solaris 9 Internet Navigware Server Enterprise Edition 8.0 RedHat Enterprise Linux AS Internet Navigware Server Enterprise Edition V8.0L10 RedHat Enterprise Linux ES Internet Navigware Server Enterprise Edition V8.0L10
該当システム：	PRIMERGY, PRIMEPOWER
システムへの影響：	システム管理者アカウントを登録されることにより、Internet Navigware Serverに対するあらゆる操作を実行される可能性があります。
一時的な回避方法：	ありません
パッチ：	あり。(提供範囲は「5.パッチ情報」を参照）

1. 背景

 悪意を持ったリクエストをInternet Navigware Serverに送信することにより、任意のアカウントが 登録される可能性があります。

 Internet Navigwareについては以下のページを参照してください。
 http://www.navigware.com/

2. 該当システムの範囲

該当コマンド/ファイル	製品名	対象OS
inavi.war	Internet Navigware Server Enterprise Edition V8.0L10	Windows
inavi.war	Internet Navigware Server Enterprise Edition 8.0	Solaris
inavi.war	Internet Navigware Server Enterprise Edition V8.0L10	Linux

3. 発見されている問題点

 Internet Navigware ServerのHTTPリクエスト形式を解析するなどによって、悪意を持った HTTPリクエストを作成し、組み合わせて送信することにより、システム管理者を含む任意の Internet Navigwareのユーザアカウントを登録される可能性があります。

4.一時的な回避方法

 一時的な回避方法はありません。

5. パッチ情報

製品名	対象OS	Patch ID
Internet Navigware Server Enterprise Edition V8.0L10	Windows	U002
Internet Navigware Server Enterprise Edition 8.0	Solaris	913809-03
Internet Navigware Server Enterprise Edition V8.0L10	Linux	LPMP0551

本修正の入手方法など詳細に関しましては、お手数ですが、弊社システム エンジニアまたはパートナー企業サポート窓口にお問い合わせください。

6. 改版履歴

• 2005年6月16日 新規掲載