Interstage Application Server: 情報漏えいの脆弱性について(CVE-2008-2370/CVE-2008-5515) (2009年6月9日)

---

本セキュリティサイトについてのご注意

1.脆弱性の説明

Servletサービスにおいて、情報漏えいの脆弱性が確認されました。

富士通は、「3. 該当システム・対策情報」にセキュリティパッチ、回避方法を提供していますので、早急に適用する様にお願いします。

Interstage製品については以下のページを参照してください。
http://interstage.fujitsu.com/jp/products/

2. 脆弱性のもたらす脅威

Webアプリケーション配下のアクセス制限をつけて保護しているコンテンツまたは内部情報を、遠隔の第三者によって取得される可能性があります。

本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報内にある、JVN「JPCERT/CCによる脆弱性分析結果」、IPA「本脆弱性の深刻度」を参照願います。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, SPARC Enterprise, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST

3-2.該当製品・対策Patch

・Interstage Application Framework Suite
・Interstage Application Server
・Interstage Apworks/Studio
・Interstage Business Application Server
・Interstage Job Workload Server
・Interstage Web Server
Patch IDの表記のみ、あるいはIDの記載のない製品に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

I. 製品バージョンレベルの確認方法

• V6系の場合
  • Solaris版の場合
    FJSVisasパッケージのパッケージ情報を確認します。
      pkginfo -l FJSVisas
  • Windows版の場合
    [ソフトウェア説明書]の表題を確認します。
      [スタートボタン]
        →[プログラム]
          →[Interstage]
            →[Application Server | Application Framework Suite | Apworks]
              →[ソフトウェア説明書]
  • Linux版の場合
    FJSVisasパッケージのパッケージ情報を確認します。
      rpm -q FJSVisas
• V7系以降の場合
  isprintvlコマンドで確認します。
    isprintvl

II. 該当Webアプリケーションの確認方法

本脆弱性の影響を受けるか否かは、Webアプリケーションの設定に依存します。
ご利用のWebアプリケーションが以下の条件を満たすかを確認してください。

条件1を満たさない場合は本脆弱性の影響を受けません。
条件1のみ、あるいは条件1, 2をともに満たす場合は、お手数ですが、回避方法について当社サポート窓口までお問い合わせください。

• 条件1：
  • 1) Webアプリケーションが、以下のいずれかの Servlet API、または JSP アクションを呼び出している。かつ、
    • javax.servlet.ServletContext#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
    • javax.servlet.ServletRequest#getRequestDispatcher(path)で取得したオブジェクトの forward または include メソッド
    • JSP の <jsp:forward page="path"> アクション
    • JSP の <jsp:include page="path"> アクション
  • 2) 1) の引数 path が '?' で始まるクエリ文字列を含む。かつ、
  • 3) クライアントから送信されたデータを2)のクエリ文字列に含めている。
• 条件2：
  Webアプリケーション内の特定のコンテンツに対してのみ、アクセス制限を行っている。
  以下1)～3)のいずれかまたは複数の場合が該当します。
  Webアプリケーション内の全てのコンテンツに対して等しくアクセス制限を設定している場合は該当しません。
  • 1) Webアプリケーションで、サーブレットの仕様に沿ってアクセス制限機能を使用している。
    Webアプリケーション環境定義ファイル(deployment descriptor: web.xml)に<security-constraint>タグが記載されている場合が該当します。
    
    【該当する例】<security-constraint>タグでHelloにのみアクセス制限
    
     <security-constraint>
      <web-resource-collection>
       <web-resource-name>Hello</web-resource-name>
       <url-pattern>/Hello.jsp</url-pattern>
      </web-resource-collection>
      <auth-constraint>
       <role-name>Administrator</role-name>
      </auth-constraint>
     </security-constraint>
    
    【該当しない例】<security-constraint>タグですべてのコンテンツにアクセス制限
    
     <security-constraint>
      <web-resource-collection>
       <web-resource-name>all</web-resource-name>
       <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <auth-constraint>
       <role-name>Administrator</role-name>
      </auth-constraint>
     </security-constraint>
  • 2) Webサーバで、ServletサービスのアプリケーションのURLに対するアクセス制御機能を使用している
    
    【該当する例】WebサーバがInterstage HTTP Serverの場合の環境定義ファイル(httpd.conf)
    （Hello.jspにだけアクセス制限）
    
     <Location /j2eesample/Hello.jsp>
      Order deny,allow
      Deny from all
     Allow from 192.168.1.1
     </Location>
    
    【該当しない例】すべてのコンテンツにアクセス制限
    
     <Location /j2eesample>
      Order deny,allow
      Deny from all
      Allow from 192.168.1.1
     </Location>
  • 3) その他、以下a)またはb)のようななんらかの方法で、Webアプリケーション内の特定のコンテンツに対してのみアクセス制限を行っている。
    • a) Webアプリケーション独自でアクセス制限機能を実装している
    • b) Webサーバ以外のネットワーク上の何らかのハードウェアまたはソフトウェアでアクセス制限を行っている

3-3. 回避方法

富士通では、本件に関する回避方法を、サポート窓口を通じて該当製品のお客様にご提供いたしますので、お手数ですが、当社サポート窓口までお問い合わせください。

4. 関連情報

本問題は、以下のApache Tomcatの脆弱性に該当します。

• CVE-2008-2370/ CVE-2008-5515: Tomcat information disclosure vulnerability
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2370
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5515
• JVN#63832775: Apache Tomcat における情報漏えいの脆弱性
  http://jvn.jp/jp/JVN63832775/index.html

5. 改版履歴

• 2009年6月9日 新規掲載