Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年11月6日)
1. 脆弱性の説明
Interstage Business Process Manager Analytics(BPMA)がサーバ部の基盤として利用しているApache Struts2に任意のコード実行の脆弱性があり、この影響で、攻撃者がBPMAのURLから任意のコード実行を行う可能性があります。
Interstage Business Process Manager Analyticsについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bpmanalytics/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
攻撃者がBPMAのURLに特定のパラメーターを付与することで、サーバ上で任意のコードを実行する可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, SPARC
3-2.該当製品・対策Patch
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| Interstage Business Process Manager Analytics 12.0 | Windows Server 2003/ 2008 | - | T008832WP-02 |
| Interstage Business Process Manager Analytics 12.0 | RHEL 5.x/ 6.x | FJSVibpma | T008833LP-02 |
| Interstage Business Process Manager Analytics 12.1 | Windows Server 2003/ 2008/ 2012 | - | T008834WP-02 |
| Interstage Business Process Manager Analytics 12.1 | RHEL 5.x/ 6.x | FJSVibpma | T008835LP-02 |
| Interstage Business Process Manager Analytics 12.1 | Solaris 11 | FJSVibpma | T008837SP-02 |
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
- Windows版の場合
- [スタートボタン]から[すべてのプログラム]を選択し、ご利用になっている製品名のグループにある[ソフトウェア説明書]を開きます。
- [ソフトウェア説明書]の上部に製品名と共にバージョンレベルの記載があります。
- Linux版の場合
- コンソール画面より以下のコマンドを入力します。
#rpm -qi FJSVibpma - コマンドの出力中にバージョンが表示されます。
- コンソール画面より以下のコマンドを入力します。
- Solaris版の場合
- コンソール画面より以下のコマンドを入力します。
#pkginfo -l FJSVibpma - コマンドの出力中にバージョンが表示されます。
- コンソール画面より以下のコマンドを入力します。
3-3. 回避方法
IPS製品を導入して以下のパラメーターを含むURLの実行を禁止します。
action、redirect、redirectAction
4. 関連情報
- JVNDB-2013-003469
「Apache Struts における任意の OGNL 式を実行される脆弱性」
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-003469.html - JVNDB-2013-003470
「Apache Struts におけるオープンリダイレクトの脆弱性」
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-003470.html
5. 改版履歴
- 2013年11月6日 初版提供のパッチに不具合が検出されたため、パッチの差し替え「3-2. 該当製品」のPatch IDを更新しました。
- 2013年9月4日 新規掲載
