富士通製JREのリフレクションAPIに関する脆弱性 (2006年10月19日)

本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、JPCERTコーディネーションセンター（JPCERT/CC)に報告されたものもしくは、当社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、当社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

概要

詳細

1.背景

「パッチ情報」に記載の各製品が同梱して提供しているJava(TM) Runtime Environment(JRE)のリフレクションAPIの使用により、信頼されていないアプレットがより上位の特権を取得する可能性があります。たとえば、アプレットが自身に、ローカルファイルの読み書き権限を与えたり、信頼されないアプレットを実行しているユーザがアクセスできるローカルのアプリケーションを実行できる可能性があります。

該当するJREのバージョンは以下の通りです。
JRE1.3.0～1.3.0_04
JRE1.3.1～1.3.1_16
JRE1.4.0～1.4.0_04
JRE1.4.1～1.4.1_07
JRE1.4.2～1.4.2_09
JRE5.0～5.0 Update 5
この問題は、Sun Alert 102003、Sun Alert 102171の脆弱性情報に該当します。

Interstageについては以下のページを参照してください。
http://interstage.fujitsu.com/jp/
ComponentAAについては以下のページを参照してください。
http://software.fujitsu.com/jp/product/use/compo/index.html
Systemwalkerについては以下のページを参照してください。
http://systemwalker.fujitsu.com/jp/
Interstage Business Application Serverについては以下のページを参照してください。
http://interstage.fujitsu.com/jp/bapserver/

2. 該当システムの範囲

以下の状況で使用されている環境で影響があります。
- Webクライアントのように、Javaアプレットを有効にし、制限無しでWebサーバにアクセスしている環境

3. 発見されている問題点

Javaアプレットの実行環境として提供しているJREにセキュリティ問題があり、信頼されていないアプレットが、アクセス制限のあるパッケージのクラス情報を参照することが可能となることがありました。

4. 一時的な回避方法

ありません。パッチを適用してください。
インターネット上から信頼できないアプレットをダウンロードできない環境であれば、本脆弱性を利用した単純な攻撃を被るリスクを抑えることができます。

5. パッチ情報

パッチ情報は、「富士通製JREのリフレクションAPIに関する脆弱性 - パッチ情報  」を参照してください。
ただし、現在パッチは一部製品のみ提供中です。ご提供可能になり次第随時広報いたします。

6. 改版履歴

• 2006年10月19日  パッチ情報に "Patch ID:TP68245" を追加
• 2006年2月17日  「概要」の該当製品に、Systemwalker CentricMGR-A、Systemwalker Network Manager、Interstage Business Application Manager for .NETを追加
  「1.背景」の該当するSun Alert情報にSun Alert 102171を追加。それに伴い該当するJREのバージョンが追加
  「5.パッチ情報」に製品を追加
• 2006年1月13日 「概要」の該当製品に製品を追加、「5.パッチ情報」に一部製品への提供開始をお知らせ
• 2005年12月22日 「概要」の該当製品に製品を追加
• 2005年12月19日 パッチ情報に製品を追加
• 2005年12月13日 新規掲載