本文へジャンプ メニューへジャンプ

富士通

ここから本文です

Interstage Application Server: シングル・サインオン機能におけるバッファオーバーフロー脆弱性 (2008年2月25日)

本セキュリティサイトについてのご注意

1.脆弱性の説明

Interstage Application Serverのシングル・サインオン機能において、バッファオーバーフローの脆弱性があります。

富士通は、3.に回避方法を示していますので、早急に対応願います。

Interstage製品については以下のページを参照してください。
http://interstage.fujitsu.com/jp/products/

2. 脆弱性のもたらす脅威

インターネットから攻撃者(悪意の第3者)がシングル・サインオンの認証サーバに特別なリクエストを発行することで、任意のコード実行、もしくは、サービス妨害(DoS)の攻撃を受ける可能性があります。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST, SPARC Enterprise

3-2.該当製品・対策Patch

注意)後述する回避方法は、製品ごとに設定内容が異なるものがあります。製品名末尾の括弧内記載記号は、回避方法の設定内容に対応しています。

Interstage Application Server
Interstage Apworks
Interstage Studio
Interstage Business Application Server
Interstage Job Workload Server
Interstage Application Server
製品名 対象OS パッケージ名 Patch ID
Interstage Application Server Enterprise Edition 8.0.0 [a] Windows F3FMsso 発行予定
Interstage Application Server Standard-J Edition 8.0.0 [a] Windows F3FMsso 発行予定
Interstage Application Server Enterprise Edition 8.0.1 [a] Windows F3FMsso 発行予定
Interstage Application Server Standard-J Edition 8.0.1 [a] Windows F3FMsso 発行予定
Interstage Application Server Enterprise Edition 8.0.3 [a] Windows F3FMsso 発行予定
Interstage Application Server Standard-J Edition 8.0.3 [a] Windows F3FMsso 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [b] Windows F3FMsso 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [b] Windows F3FMsso 発行予定
Interstage Application Server Enterprise Edition V9.0.1 [b] Windows F3FMsso 発行予定
Interstage Application Server Standard-J Edition V9.0.1 [b] Windows F3FMsso 発行予定
Interstage Application Server Enterprise Edition 8.0.0 [c] Solaris FJSVssoac 発行予定
Interstage Application Server Standard-J Edition 8.0.0 [c] Solaris FJSVssoac 発行予定
Interstage Application Server Enterprise Edition 8.0.3 [c] Solaris FJSVssoac 発行予定
Interstage Application Server Standard-J Edition 8.0.3 [c] Solaris FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [d] Solaris FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [d] Solaris FJSVssoac 発行予定
Interstage Application Server Enterprise Edition 8.0.0 [c] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition 8.0.0 [c] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition 8.0.3 [c] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition 8.0.3 [c] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [d] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [d] RHEL5(x86)/ RHEL5(Intel64) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [d] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [d] RHEL5(x86)/ RHEL5(Intel64) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.1 [d] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.1 [d] RHEL5(x86)/ RHEL5(Intel64) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.1 [d] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.1 [d] RHEL5(x86)/ RHEL5(Intel64) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [d] RHEL-AS4(IPF) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [d] RHEL5(IPF) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [d] RHEL-AS4(IPF) FJSVssoac 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [d] RHEL5(IPF) FJSVssoac 発行予定
Interstage Application Server Enterprise Edition V9.0.0 [b] Windows(IPF) F3FMsso 発行予定
Interstage Application Server Standard-J Edition V9.0.0 [b] Windows(IPF) F3FMsso 発行予定

ページの先頭へ

Interstage Apworks
製品名 対象OS パッケージ名 Patch ID
Interstage Apworks Enterprise Edition 8.0.0 [a] Windows F3FMsso 発行予定
Interstage Apworks Standard-J Edition 8.0.1 [a] Windows F3FMsso 発行予定
Interstage Apworks Enterprise Edition 8.1.0 [a] Windows F3FMsso 発行予定

ページの先頭へ

Interstage Studio
製品名 対象OS パッケージ名 Patch ID
Interstage Studio Enterprise Edition V9.0.0 [b] Windows F3FMsso 発行予定
Interstage Studio Standard-J Edition V9.0.0 [b] Windows F3FMsso 発行予定
Interstage Studio with UML Modeling Tool V9.0.0 [b] Windows F3FMsso 発行予定
Interstage Studio Enterprise Edition V9.0.0A [b] Windows F3FMsso 発行予定
Interstage Studio Standard-J Edition V9.0.0A [b] Windows F3FMsso 発行予定
Interstage Studio Enterprise Edition V9.0.1 [b] Windows F3FMsso 発行予定
Interstage Studio Standard-J Edition V9.0.1 [b] Windows F3FMsso 発行予定

ページの先頭へ

Interstage Business Application Server
製品名 対象OS パッケージ名 Patch ID
Interstage Business Application Server Standard Edition 8.0.0 [a] Windows F3FMsso 発行予定
Interstage Business Application Server Standard Edition 8.0.1 [a] Windows F3FMsso 発行予定
Interstage Business Application Server Enterprise Edition 8.0.0 [c] Solaris FJSVssoac 発行予定
Interstage Business Application Server Standard Edition 8.0.0 [c] Solaris FJSVssoac 発行予定
Interstage Business Application Server Enterprise Edition 8.0.1 [c] Solaris FJSVssoac 発行予定
Interstage Business Application Server Standard Edition 8.0.0 [c] RHEL-AS4(x86)/ AS4(EM64T) FJSVssoac 発行予定

ページの先頭へ

Interstage Job Workload Server
製品名 対象OS パッケージ名 Patch ID
Interstage Job Workload Server 8.1.1 [c] Solaris FJSVssoac 発行予定

ページの先頭へ


3-3. 回避方法

本脆弱性は、パッチの適用ができない間、以下の方法で影響を回避することができます。

シングル・サインオンの認証サーバを運用するInterstage HTTP Serverの環境定義ファイル(httpd.conf)を以下のように編集し、許容するリクエストのURIの長さを2000byte以下に制限して回避してください。
編集後は、認証サーバを運用するInterstage HTTP Serverを再起動する必要があります。

注意)製品[a],[c]での <VirtualHost>ディレクティブのポート番号は、シングル・サインオンの認証サーバを運用するポート番号が設定されます。下記は443ポートで運用している場合の例です。

  • 製品[a]の場合
    定義ファイルから<Location /ssoatcag>を検索し、LimitRequestLineディレクティブを以下のように追加してください。

    <VirtualHost _default_:443>
    LimitRequestLine 2000
    <Location /ssoatcag>
    SetHandler ssoatcag-handler
    </Location>
    SSLConfName SSO_SSL
    DocumentRoot "C:\Interstage\F3FMsso\ssoatcag\pub\docroot"
    </VirtualHost>

  • 製品[b]の場合
    定義ファイルから<Location /ssoatcag>を検索し、LimitRequestLineディレクティブを以下のように追加してください。

    LoadModule ssoatcag_module "C:\Interstage\F3FMsso\ssoatcag\lib\F3FMssoatcag.dll"
    LimitRequestLine 2000
    <Location /ssoatcag>
    SetHandler ssoatcag-handler
    </Location>

  • 製品[c]の場合
    定義ファイルから<Location /ssoatcag>を検索し、LimitRequestLineディレクティブを以下のように追加してください。

    <VirtualHost _default_:443>
    LimitRequestLine 2000
    <Location /ssoatcag>
    SetHandler ssoatcag-handler
    </Location>
    SSLConfName SSO
    DocumentRoot "/opt/FJSVssoac/pub/docroot"
    </VirtualHost>

  • 製品[d]の場合
    定義ファイルから<Location /ssoatcag>を検索し、LimitRequestLineディレクティブを以下のように追加してください。

    LoadModule ssoatcag_module "/opt/FJSVssoac/lib/ssoatcag.so"
    LimitRequestLine 2000
    <Location /ssoatcag>
    SetHandler ssoatcag-handler
    </Location>

4. 改版履歴

  • 2008年2月25日 新規掲載

ページの先頭へ

ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです