 |
Interstage V6.0製品のサーブレットコンテナにおけるクロスサイト・スクリプティングのセキュリティ脆弱性 (2004年6月17日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: |
Interstage V6.0製品のサーブレットコンテナにクロスサイト・スクリプティングのセキュリティ脆弱性が存在する。 |
| 製品提供元: |
富士通株式会社 |
| 該当製品: |
| 対象OS |
製品名 |
| Windows 2000 |
Interstage Application Server Web-J Edition V6.0L10, V6.0L10A
Interstage Application Server Plus V6.0L10, V6.0L10A
Interstage Application Server Enterprise Edition V6.0L10
Interstage Application Server Standard Edition V6.0L10
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A
Interstage Apworks Standard Edition V6.0L10, V6.0L10A
Interstage Apworks Modelers-J Edition V6.0L10
Interstage Application Server Plus Developer V6.0L10
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10 |
| Windows 2003 |
Interstage Application Server Web-J Edition V6.0L10, V6.0L10A
Interstage Application Server Plus V6.0L10, V6.0L10A
Interstage Application Server Enterprise Edition V6.0L10
Interstage Application Server Standard Edition V6.0L10
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A
Interstage Apworks Standard Edition V6.0L10, V6.0L10A
Interstage Application Server Plus Developer V6.0L10
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10 |
| Windows NT 4.0 |
Interstage Application Server Web-J Edition V6.0L10, V6.0L10A
Interstage Application Server Plus V6.0L10, V6.0L10A
Interstage Application Server Enterprise Edition V6.0L10
Interstage Application Server Standard Edition V6.0L10
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A
Interstage Apworks Standard Edition V6.0L10, V6.0L10A
Interstage Application Server Plus Developer V6.0L10
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10 |
| Windows XP |
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A
Interstage Apworks Standard Edition V6.0L10, V6.0L10A
Interstage Apworks Modelers-J Edition V6.0L10
Interstage Application Server Plus Developer V6.0L10 |
| Solaris 9 OE |
Interstage Application Server Web-J Edition 6.0
Interstage Application Server Plus 6.0
Interstage Application Server Enterprise Edition 6.0
Interstage Application Server Standard Edition 6.0
Interstage Application Framework Suite Web Edition 6.0
Interstage Application Framework Suite Enterprise Edition 6.0
Interstage Application Framework Suite Standard Edition 6.0 |
| Solaris 8 OE |
Interstage Application Server Web-J Edition 6.0
Interstage Application Server Plus 6.0
Interstage Application Server Enterprise Edition 6.0
Interstage Application Server Standard Edition 6.0
Interstage Application Framework Suite Web Edition 6.0
Interstage Application Framework Suite Enterprise Edition 6.0
Interstage Application Framework Suite Standard Edition 6.0 |
| Solaris 7 OE |
Interstage Application Server Web-J Edition 6.0
Interstage Application Server Plus 6.0
Interstage Application Server Enterprise Edition 6.0
Interstage Application Server Standard Edition 6.0
Interstage Application Framework Suite Web Edition 6.0
Interstage Application Framework Suite Enterprise Edition 6.0
Interstage Application Framework Suite Standard Edition 6.0 |
| Red Hat Enterprise Linux AS (v. 2.1) |
Interstage Application Server Web-J Edition V6.0L10, V6.0L11
Interstage Application Server Plus V6.0L10, V6.0L11
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L11 |
| Red Hat Enterprise Linux ES (v. 2.1) |
Interstage Application Server Web-J Edition V6.0L10, V6.0L11
Interstage Application Server Plus V6.0L10, V6.0L11
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L11 |
| Red Hat Enterprise Linux AS (v. 3) |
Interstage Application Server Enterprise Edition V6.0L10
Interstage Application Server Standard Edition V6.0L10
Interstage Application Server Web-J Edition V6.0L11
Interstage Application Server Plus V6.0L11
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10
Interstage Application Framework Suite Web Edition V6.0L11 |
| Red Hat Enterprise Linux ES (v. 3) |
Interstage Application Server Enterprise Edition V6.0L10
Interstage Application Server Standard Edition V6.0L10
Interstage Application Server Web-J Edition V6.0L11
Interstage Application Server Plus V6.0L11
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10
Interstage Application Framework Suite Web Edition V6.0L11 |
|
| 該当システム: |
PRIMERGY, GP5000, GP7000F, PRIMEPOWER, GP-S, FMV, 他社 |
| システムへの影響: |
Webアプリケーションの作りにより、該当サイトのセキュリティ情報が漏洩するというクロスサイト・スクリプティングの被害が発生する可能性があります。 |
| 一時的な回避方法: |
4.に示します。 |
| パッチ: |
当社サポート窓口にお問い合わせください。 |
|
|
1. 背景
Interstage Application Serverに、セキュリティ問題が新たに確認されました。
Servletサービスで動作するWebアプリケーションに例外発生時に表示するページの定義がなく、かつWebアプリケーション実行時に前述の例外が発生する場合に問題があります。
上記[概要]にある「該当する製品」で下記「3. 発見されている問題点」の条件に当てはまる場合はパッチが公開されるまでは、「4. 一時的な回避方法」を適用願います。
パッチが公開されましたら、パッチの適用を実施願います。その際、一時的な回避を元に戻す必要はありません。
また、Interstage V5以前の製品では当問題はありません。
Interstage については以下のページを参照してください。
http://interstage.fujitsu.com/jp/
2. 該当システムの範囲
| 該当コマンド/ファイル |
製品名 |
対象OS |
| catalina.jar |
Interstage Application Server Web-J Edition V6.0L10, V6.0L10A |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Server Plus V6.0L10, V6.0L10A |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Server Enterprise Edition V6.0L10 |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Server Standard Edition V6.0L10 |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Server Web-J Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Server Plus 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Server Enterprise Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Server Standard Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Server Web-J Edition V6.0L10 |
RHEL-AS2.1/ES2.1 |
| catalina.jar |
Interstage Application Server Plus V6.0L10 |
RHEL-AS2.1/ES2.1 |
| catalina.jar |
Interstage Application Server Enterprise Edition V6.0L10 |
RHEL-AS3/ES3 |
| catalina.jar |
Interstage Application Server Standard Edition V6.0L10 |
RHEL-AS3/ES3 |
| catalina.jar |
Interstage Application Server Web-J Edition V6.0L11 |
RHEL-AS2.1/ES2.1/AS3/ES3 |
| catalina.jar |
Interstage Application Server Plus V6.0L11 |
RHEL-AS2.1/ES2.1/AS3/ES3 |
| catalina.jar |
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A |
Windows 2000, 2003, NT 4.0, XP |
| catalina.jar |
Interstage Apworks Standard Edition V6.0L10, V6.0L10A |
Windows 2000, 2003, NT 4.0, XP |
| catalina.jar |
Interstage Apworks Modelers-J Edition V6.0L10 |
Windows 2000, XP |
| catalina.jar |
Interstage Application Server Plus Developer V6.0L10 |
Windows 2000, 2003, NT 4.0, XP |
| catalina.jar |
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Framework Suite Enterprise Edition V6.0L10 |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Framework Suite Standard Edition V6.0L10 |
Windows 2000, 2003, NT 4.0 |
| catalina.jar |
Interstage Application Framework Suite Web Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Framework Suite Enterprise Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Framework Suite Standard Edition 6.0 |
Solaris 7, 8, 9 OE |
| catalina.jar |
Interstage Application Framework Suite Web Edition V6.0L10 |
RHEL-AS2.1/ES2.1 |
| catalina.jar |
Interstage Application Framework Suite Enterprise Edition V6.0L10 |
RHEL-AS3/ES3 |
| catalina.jar |
Interstage Application Framework Suite Standard Edition V6.0L10 |
RHEL-AS3/ES3 |
| catalina.jar |
Interstage Application Framework Suite Web Edition V6.0L11 |
RHEL-AS2.1/ES2.1/AS3/ES3 |
|
|
3. 発見されている問題点
Servletサービスについて、Cross-Site Scriptingの脆弱性の問題が確認されました。この脆弱性を利用すると、悪意のあるサイト運用者がユーザのコンピュータ上で任意のコードを実行することができます。また、そのコードは信頼できるサイトのものとして実行される可能性があります。
- 危険なコードには以下のようなものがあります。
- ・ユーザ入力の読み取り
・cookieの読み取り/上書き
・第三者への情報の転送
4. 一時的な回避方法
以下いずれかの方法で回避可能です。
1)アプリケーション内でエラーハンドリングを行っていない場合
− Servlet/JSPアプリケーション
Webアプリケーション環境定義ファイル(web.xml)内に、HTTPのステータスコード500に対するエラーページを定義します。また、定義したエラーページを配置します。
エラーページには静的な任意のHTMLファイルを指定してください。(下の設定例では500.htmlをエラーページとしています。)
<定義例>Webアプリケーション環境定義ファイル(web.xml)
<web-app>
:
<error-page>
<error-code>
500
</error-code>
<location>
/500.html
</location>
</error-page>
:
</web-app>
定義後、IJServerを再起動してください。
2)アプリケーション内でJavaのエラー情報を例外メッセージに設定している場合
Javaのエラー情報にクライアントからの入力情報を含まないように、アプリケーションを修正してください。
5. パッチ情報
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
|
|
