Interstage Application Server: リクエスト処理に関する脆弱性 (2010年5月17日)
1.脆弱性の説明
Interstage Application Serverに含まれるServletサービスに、特定のリクエストが適切に処理されない脆弱性が存在します。
富士通は、「3. 該当システム・対策情報」にセキュリティパッチ、回避方法を提供していますので、早急に適用する様にお願いします。
Interstage製品については以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 脆弱性のもたらす脅威
具体的な現象は、Webアプリケーションの実装に依存します。例えば、以下のような現象が発生する可能性があります。
- 例1) 不正なリクエスト処理の実行
- 例2) 他のユーザの情報の参照
Interstage List Manager製品の場合は、帳票一覧画面、論理あて先一覧画面、帳票ブラウザ画面で、以下のような影響が考えられます。
- 例3) ログインしたユーザとは別のユーザ資格での画面操作の実行
- 例4) 画面操作での内部エラーの発生
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機
3-2.該当製品・対策Patch
- Interstage Application Server系 V3, V4, V5, V6, V7
- Interstage Application Server Enterprise Edition
- Interstage Application Server Standard Edition
- Interstage Application Server Web Edition
- Interstage Application Server Web-J Edition
- Interstage Application Server Plus
- Interstage Application Server系を内包しているミドルウェア製品
- Interstage Application Framework Suite Enterprise Edition
- Interstage Application Framework Suite Standard Edition
- Interstage Application Framework Suite Web Edtion
- Interstage List Manager Enterprise Edition(注1) V8
注1) Interstage List Manager製品をご利用の場合は、それぞれ対応するInterstage Application Serverの修正を適用願います。
補足) 以下の製品では、カスタムインストールにより旧バージョン互換機能(バージョン5系までに提供していたServletサービス)を選択された場合にのみ該当します。標準インストールなどにより標準機能のServletサービスをご利用の場合には本問題は発生しません。
- Interstage Application Framework Suite V6系, V7系
- Interstage Application Server V6系, V7系
- Interstage List Manager Enterprise Edition V8
本件に関するパッチ情報など詳細情報は、以下の公開情報をご覧ください。
掲載番号:FS-10-001 「Interstage Application Server等の修正パッチ」
http://eservice.fujitsu.com/tech_info/FS-10-001/IAS.html
参考: 該当製品の確認方法
- V3からV6系の場合
- Solaris版の場合
FJSVisasパッケージのパッケージ情報を確認します。
pkginfo -l FJSVisas - Windows版の場合
[ソフトウェア説明書]の表題を確認します。
[スタートボタン]
→[プログラム]
→[Interstage]
→[Application Server | Application Framework Suite]
→[ソフトウェア説明書] - Linux版の場合
FJSVisasパッケージのパッケージ情報を確認します。
rpm -q FJSVisas
- Solaris版の場合
- V7系以降の場合
isprintvlコマンドで確認します。
isprintvl
3-3. 回避方法
負荷分散装置からの振り分け開始時刻をサーバ毎に5分以上ずらしてください。
4. 関連情報
本問題は、Interstage Application Serverの脆弱性 JVN#90248889に該当します。
- JVN#90248889: Interstage Application Server におけるリクエスト処理に関する脆弱性
http://jvn.jp/jp/JVN90248889/index.html(2010年5月17日公開)
5. 改版履歴
- 2010年5月17日 新規掲載