セキュリティ > 富士通製品 > Apache1.3.33で修正されたSSI機能に関するセキュリティ脆弱性問題

Interstage HTTP ServerにおけるApache1.3.33で修正されたSSI機能に関するセキュリティ脆弱性問題 (2005年5月23日)

本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点：

Interstage HTTP ServerにおけるApache1.3.33で修正されたSSI機能に関するセキュリティ脆弱性問題

製品提供元：

富士通株式会社

該当製品：

対象OS	製品名
Windows	Interstage Application Server Enterprise Edition V5.0L10, V5.0L10A, V5.0L10B,V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 Interstage Application Server Standard Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 Interstage Application Server Web-J Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10, V7.0L10A Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10 Interstage Application Server Plus Developer V5.0L20, V6.0L10, V7.0L10 Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B, V7.0L10 Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A, V6.0L10B, V7.0L10 Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A, V6.0L10B, V7.0L10 Interstage Apworks Standard Edition V6.0L10, V6.0L10A, V7.0L10 Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A, V7.0L10
Solaris	Interstage Application Server Enterprise Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Server Standard Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Server Web-J Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Server Plus 5.1, 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Framework Suite Enterprise Edition 6.0, 6.0.1 Interstage Application Framework Suite Standard Edition 6.0, 6.0.1, 7.0 Interstage Application Framework Suite Web Edition 6.0, 6.0.1, 7.0
Linux	Interstage Application Server Enterprise Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10 Interstage Application Server Standard Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10 Interstage Application Server Web-J Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10, V6.0L11 Interstage Application Server Plus V5.0L20, V6.0L10, V6.0L11 Interstage Application Framework Suite Enterprise Edition V6.0L10 Interstage Application Framework Suite Standard Edition V6.0L10 Interstage Application Framework Suite Web Edition V6.0L10, V6.0L11

該当システム：

PRIMEPOWER, GP7000F, GP-S, PRIMERGY, GP5000, CELSIUS, FMV

システムへの影響：

・SSI(Server Side Includes)が有効な場合、任意のコードやコマンドをWebサーバの実行権限で実行される可能性があります。

一時的な回避方法：

4.に示します。

パッチ：

あり。(提供範囲は「5.パッチ情報」を参照)

1. 背景

Interstage Application Server、Interstage Apworks及びInterstage Application Framework Suiteが提供するInterstage HTTP Server(FJapache)において、1件のセキュリティに関する脆弱性の問題を抱えていることが確認されました。
この脆弱性の問題により、一般利用者の権限でSSI機能を利用したWebページの作成を可能としている運用において、Webサーバの実行権限で任意のコードの実行が可能になることがあります。

なお、この脆弱性問題は以下のCVEに該当します。
・CAN-2004-0940 (cve.mitre.org)

富士通は、5.に示すセキュリティパッチを提供しておりますので、早急に適用する様にお願いします。

Interstageについては以下のページを参照してください。
http://interstage.fujitsu.com/jp/

2. 該当システムの範囲

該当コマンド/ファイル	製品名	対象OS
ApacheCore.dll	Interstage Application Server Enterprise Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Application Server Standard Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Application Server Web-J Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10, V7.0L10A	Windows
ApacheCore.dll	Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Application Server Plus Developer V5.0L20, V6.0L10, V7.0L10	Windows
ApacheCore.dll	Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A, V6.0L10B, V7.0L10	Windows
ApacheCore.dll	Interstage Apworks Standard Edition V6.0L10, V6.0L10A, V7.0L10	Windows
ApacheCore.dll	Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A, V7.0L10	Windows
mod_include.so	Interstage Application Server Enterprise Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Server Standard Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Server Web-J Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Server Plus 5.1, 5.1.1, 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Framework Suite Enterprise Edition 6.0, 6.0.1	Solaris
mod_include.so	Interstage Application Framework Suite Standard Edition 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Framework Suite Web Edition 6.0, 6.0.1, 7.0	Solaris
mod_include.so	Interstage Application Server Enterprise Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10	Linux
mod_include.so	Interstage Application Server Standard Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10	Linux
mod_include.so	Interstage Application Server Web-J Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10, V6.0L11	Linux
mod_include.so	Interstage Application Server Plus V5.0L20, V6.0L10, V6.0L11	Linux
mod_include.so	Interstage Application Framework Suite Enterprise Edition V6.0L10	Linux
mod_include.so	Interstage Application Framework Suite Standard Edition V6.0L10	Linux
mod_include.so	Interstage Application Framework Suite Web Edition V6.0L10, V6.0L11	Linux

3. 発見されている問題点

・CAN-2004-0940: SSI(Server Side Includes)が有効な場合、攻撃者は任意のコードをWebサーバの実行権限で実行できます。

4. 一時的な回避方法

・CAN-2004-0940: SSI(Server Side Includes)機能を無効とすることで回避は可能です。
SSI機能が有効になっている場合、設定ファイル(httpd.conf)中でSSI機能が有効となっているOptionsディレクティブからIncludesオプションを消去し、Interstage HTTP Serverを再起動することでSSI機能を無効化できます。

以下の条件を満たす場合、SSI機能が有効であると判断できます。
(1)定義ファイル(httpd.conf)中の有効なOptionsディレクティブがあり、かつ
(2)Optionsディレクティブ中のオプションにIncludesオプションがある場合。

5. パッチ情報

製品名	対象OS	パッケージ名	Patch ID
Interstage Application Server Enterprise Edition V5.0L10	Windows	F3FMihs	TP07356
Interstage Application Server Standard Edition V5.0L10	Windows	F3FMihs	TP07356
Interstage Application Server Web-J Edition V5.0L10	Windows	F3FMihs	TP07356
Interstage Application Server Enterprise Edition V5.0L10A	Windows	F3FMihs	TP07356
Interstage Application Server Standard Edition V5.0L10A	Windows	F3FMihs	TP07356
Interstage Application Server Web-J Edition V5.0L10A	Windows	F3FMihs	TP07356
Interstage Application Server Enterprise Edition V5.0L10B	Windows	F3FMihs	TP07356
Interstage Application Server Standard Edition V5.0L10B	Windows	F3FMihs	TP07356
Interstage Application Server Web-J Edition V5.0L10B	Windows	F3FMihs	TP07356
Interstage Application Server Enterprise Edition V5.0L20	Windows	F3FMihs	TP17356
Interstage Application Server Standard Edition V5.0L20	Windows	F3FMihs	TP17356
Interstage Application Server Web-J Edition V5.0L20	Windows	F3FMihs	TP17356
Interstage Application Server Plus V5.0L20	Windows	F3FMihs	TP17356
Interstage Application Server Plus Developer V5.0L20	Windows	F3FMihs	TP17356
Interstage Application Server Enterprise Edition V5.0L20A	Windows	F3FMihs	TP17356
Interstage Application Server Standard Edition V5.0L20A	Windows	F3FMihs	TP17356
Interstage Application Server Web-J Edition V5.0L20A	Windows	F3FMihs	TP17356
Interstage Application Server Plus V5.0L20A	Windows	F3FMihs	TP17356
Interstage Application Server Enterprise Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Server Standard Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Server Web-J Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Server Plus V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Server Plus Developer V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Server Web-J Edition V6.0L10A	Windows	F3FMihs	TP27356
Interstage Application Server Plus V6.0L10A	Windows	F3FMihs	TP27356
Interstage Application Server Enterprise Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Server Standard Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Server Web-J Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Server Plus V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Server Enterprise Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Standard Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Web-J Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Plus V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Plus Developer V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Web-J Edition V7.0L10A	Windows	F3FMihs	TP37356
Interstage Application Framework Suite Enterprise Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Standard Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Web Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Web Edition V6.0L10A	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Enterprise Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Standard Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Web Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Application Framework Suite Standard Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Framework Suite Web Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Apworks Enterprise Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Apworks Standard Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Apworks Modelers-J Edition V6.0L10	Windows	F3FMihs	TP27356
Interstage Apworks Enterprise Edition V6.0L10A	Windows	F3FMihs	TP27356
Interstage Apworks Standard Edition V6.0L10A	Windows	F3FMihs	TP27356
Interstage Apworks Enterprise Edition V6.0L10B	Windows	F3FMihs	TP27356
Interstage Apworks Modelers-J Edition V6.0L10A	Windows	F3FMihs	TP27356
Interstage Apworks Enterprise Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Apworks Standard Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Apworks Modelers-J Edition V7.0L10	Windows	F3FMihs	TP37356
Interstage Application Server Enterprise Edition 5.0	Solaris	FJSVihs	912327-06
Interstage Application Server Standard Edition 5.0	Solaris	FJSVihs	912327-06
Interstage Application Server Web-J Edition 5.0	Solaris	FJSVihs	912327-06
Interstage Application Server Enterprise Edition 5.0.1	Solaris	FJSVihs	912499-04
Interstage Application Server Standard Edition 5.0.1	Solaris	FJSVihs	912499-04
Interstage Application Server Web-J Edition 5.0.1	Solaris	FJSVihs	912499-04
Interstage Application Server Enterprise Edition 5.1	Solaris	FJSVihs	913075-06
Interstage Application Server Standard Edition 5.1	Solaris	FJSVihs	913075-06
Interstage Application Server Web-J Edition 5.1	Solaris	FJSVihs	913075-06
Interstage Application Server Plus 5.1	Solaris	FJSVihs	913075-06
Interstage Application Server Enterprise Edition 5.1.1	Solaris	FJSVihs	913075-06
Interstage Application Server Standard Edition 5.1.1	Solaris	FJSVihs	913075-06
Interstage Application Server Web-J Edition 5.1.1	Solaris	FJSVihs	913075-06
Interstage Application Server Plus 5.1.1	Solaris	FJSVihs	913075-06
Interstage Application Server Enterprise Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Server Standard Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Server Web-J Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Server Plus 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Server Enterprise Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Server Standard Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Server Web-J Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Server Plus 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Server Enterprise Edition 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Server Standard Edition 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Server Web-J Edition 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Server Plus 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Framework Suite Enterprise Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Framework Suite Standard Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Framework Suite Web Edition 6.0	Solaris	FJSVihs	T0103S-02
Interstage Application Framework Suite Enterprise Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Framework Suite Standard Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Framework Suite Web Edition 6.0.1	Solaris	FJSVihs	T0138S-01
Interstage Application Framework Suite Standard Edition 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Framework Suite Web Edition 7.0	Solaris	FJSVihs	T013RS-01
Interstage Application Server Enterprise Edition V5.0L10	Linux	FJSVihs	T00019-05
Interstage Application Server Standard Edition V5.0L10	Linux	FJSVihs	T00019-05
Interstage Application Server Web-J Edition V5.0L10	Linux	FJSVihs	T00019-05
Interstage Application Server Enterprise Edition V5.0L11	Linux	FJSVihs	T00034-04
Interstage Application Server Standard Edition V5.0L11	Linux	FJSVihs	T00034-04
Interstage Application Server Web-J Edition V5.0L11	Linux	FJSVihs	T00034-04
Interstage Application Server Enterprise Edition V5.0L20	Linux	FJSVihs	T00091-03
Interstage Application Server Standard Edition V5.0L20	Linux	FJSVihs	T00091-03
Interstage Application Server Web-J Edition V5.0L20	Linux	FJSVihs	T00091-03
Interstage Application Server Plus V5.0L20	Linux	FJSVihs	T00091-03
Interstage Application Server Enterprise Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Server Standard Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Server Web-J Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Server Plus V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Server Web-J Edition V6.0L11	Linux	FJSVihs	T00258-02
Interstage Application Server Plus V6.0L11	Linux	FJSVihs	T00258-02
Interstage Application Framework Suite Enterprise Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Framework Suite Standard Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Framework Suite Web Edition V6.0L10	Linux	FJSVihs	T00258-02
Interstage Application Framework Suite Web Edition V6.0L11	Linux	FJSVihs	T00258-02

お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。

6. 改版履歴

2005年5月23日新規掲載