クライアントから不正なHTTPリクエストを受け付けた場合にInterstage HTTP Serverの通信プロセスが異常終了する問題 (2005年9月8日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点：	クライアントから不正なHTTPリクエストを受け付けた場合にInterstage HTTP Serverの通信プロセスが異常終了する問題
製品提供元：	富士通株式会社
該当製品：	対象OS 製品名 Windows Interstage Application Server Enterprise Edition V5.0L20, V5.0L20A V6.0L10, V6.0L10B Interstage Application Server Standard Edition V5.0L20, V5.0L20A V6.0L10, V6.0L10B Interstage Application Server Web-J Edition V5.0L20, V5.0L20A V6.0L10, V6.0L10A, V6.0L10B Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B Interstage Application Server Plus Developer V5.0L20, V6.0L10 Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A, V6.0L10B Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A, V6.0L10B Interstage Apworks Standard Edition V6.0L10, V6.0L10A Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A
該当システム：	PRIMERGY, GP5000, CELSIUS, FMV
システムへの影響：	Interstage HTTP Serverの通信プロセスが異常終了する場合があります。
一時的な回避方法：	ありません。
パッチ：	あり。(提供範囲は「5.パッチ情報」を参照）

1. 背景

 Interstage Application Server、Interstage Apworks 及び Interstage Application Framework Suiteが提供するInterstage HTTP Server (FJapache) において、1件のセキュリティに関する脆弱性の問題を抱えていることが確認されました。
 この脆弱性の問題により、クライアントから不正なHTTPリクエストを受け付けた場合、Interstage HTTP Serverの通信プロセスが異常終了する場合があります。

 富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

 Interstageについては以下のページを参照してください。
 http://interstage.fujitsu.com/jp/

2. 該当システムの範囲

該当コマンド/ファイル	製品名	対象OS
ApacheCore.dll	Interstage Application Server Enterprise Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Server Standard Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Server Web-J Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Server Plus Developer V5.0L20, V6.0L10	Windows
ApacheCore.dll	Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B	Windows
ApacheCore.dll	Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A, V6.0L10B	Windows
ApacheCore.dll	Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A, V6.0L10B	Windows
ApacheCore.dll	Interstage Apworks Standard Edition V6.0L10, V6.0L10A	Windows
ApacheCore.dll	Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A	Windows

3. 発見されている問題点

 クライアントから不正なHTTPリクエストを受け付けた場合、Interstage HTTP Serverの通信プロセス(Apache.exe)が異常終了する場合があります。
 他のリクエスト処理中に、本現象が発生した場合、処理中のリクエストの通信はすべて切断されます。
 尚、通信プロセス異常終了後は、通信プロセスを自動生成するため、その後リクエストを受信しても正常に動作します。

4. 一時的な回避方法

 ありません。

5. パッチ情報

製品名	対象OS	パッケージ名	Patch ID
Interstage Application Server   Enterprise Edition V5.0L20   Standard Edition V5.0L20   Web-J Edition V5.0L20   Plus V5.0L20   Plus Developer V5.0L20   Enterprise Edition V5.0L20A   Standard Edition V5.0L20A   Web-J Edition V5.0L20A   Plus V5.0L20A	Windows	F3FMihs	TP17822 (TP17822.exe:712KB)
Interstage Application Server   Enterprise Edition V6.0L10   Standard Edition V6.0L10   Web-J Edition V6.0L10   Plus V6.0L10   Plus Developer V6.0L10   Web-J Edition V6.0L10A   Plus V6.0L10A   Enterprise Edition V6.0L10B   Standard Edition V6.0L10B   Web-J Edition V6.0L10B   Plus V6.0L10B	Windows	F3FMihs	TP27822 (TP27822.exe:328KB)
Interstage Application Framework Suite   Enterprise Edition V6.0L10   Standard Edition V6.0L10   Web Edition V6.0L10   Web Edition V6.0L10A   Enterprise Edition V6.0L10B   Standard Edition V6.0L10B   Web Edition V6.0L10B	Windows	F3FMihs	TP27822 (TP27822.exe:328KB)
Interstage Apworks   Enterprise Edition V6.0L10   Standard Edition V6.0L10   Modelers-J Edition V6.0L10   Enterprise Edition V6.0L10A   Standard Edition V6.0L10A   Modelers-J Edition V6.0L10A   Enterprise Edition V6.0L10B	Windows	F3FMihs	TP27822 (TP27822.exe:328KB)

6. 改版履歴

• 2005年9月8日 新規掲載