Interstage Business Process Manager Analytics, Systemwalker Service Quality Coordinator Enterprise Edition, Interstage Business Analytics Modeling Server, Symfoware Analytics Server Standard Edition:攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094) (2014年6月3日)

1. 脆弱性の説明

Interstage Business Process Manager Analytics(BPMA)の運用管理コンソール、ダッシュボード、Analytics Studio(V12.0以降)および、Systemwalker Service Quality Coordinator Enterprise Edition(SQC EE)、Interstage Business Analytics Modeling Server(BAMS), Symfoware Analytics Server Standard Edition(SymfoAS SE) のダッシュボードの動作基盤として利用しているApache Strutsにおいて、クラスローダーを外部から操作可能な脆弱性が確認されました。この影響で、情報の窃取や特定ファイルの操作を許してしまう可能性があります。

Interstage Business Process Manager Analyticsについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bpmanalytics/
Systemwalker Service Quality Coordinatorについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/sqc/
Interstage Business Analytics Modeling Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bamodelingserver/
Symfoware Analytics Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/analyticsserver/

富士通は、3. でセキュリティパッチおよび回避方法を提示していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能はイントラネット内もしくは、運用環境によりセキュリティ侵害対策を構築したネットワーク上で使用されることを前提としています。
そのようなネットワーク環境上の悪意のある利用者から本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、ダッシュボードが利用できなくなる、あるいは、BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能が動作するサーバ上の任意のファイルが読み取られるなど、様々な被害を受ける可能性があります。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, SPARC

3-2.該当製品・対策Patch

・ Interstage Business Process Manager Analytics
・ Systemwalker Service Quality Coordinator
・ Interstage Business Analytics Modeling Server
・ Symfoware Analytics Server

Interstage Business Process Manager Analytics
製品名	バージョン	対象OS	パッケージ名	Patch ID
Interstage Business Process Manager Analytics	10.1	Windows Server 2003/ Windows Server 2008	-	未定
Interstage Business Process Manager Analytics	10.1	Red Hat Enterprise Linux 5.x	FJSVibpma	未定
Interstage Business Process Manager Analytics	11.0	Windows Server 2003/ Windows Server 2008	-	発行予定あり
Interstage Business Process Manager Analytics	11.0	Red Hat Enterprise Linux 5.x	FJSVibpma	発行予定あり
Interstage Business Process Manager Analytics	11.0	Solaris10	FJSVibpma	発行予定あり
Interstage Business Process Manager Analytics	11.1	Windows Server 2003/ Windows Server 2008	-	未定
Interstage Business Process Manager Analytics	11.1	Red Hat Enterprise Linux 5.x	FJSVibpma	未定
Interstage Business Process Manager Analytics	12.0	Windows Server 2003/ Windows Server 2008	-	未定
Interstage Business Process Manager Analytics	12.0	Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x	FJSVibpma	未定
Interstage Business Process Manager Analytics	12.1	Windows Server 2003/ Windows Server 2008/ Windows Server 2012	-	未定
Interstage Business Process Manager Analytics	12.1	Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x	FJSVibpma	未定
Interstage Business Process Manager Analytics	12.1	Solaris 11	FJSVibpma	未定
Interstage Business Process Manager Analytics	12.2	Windows Server 2008/ Windows Server 2012	-	未定
Interstage Business Process Manager Analytics	12.2	Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x	FJSVibpma	未定

Systemwalker Service Quality Coordinator
製品名	バージョン	対象OS	パッケージ名	Patch ID
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)	13.4.0/ 13.4.0A	Windows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)	13.5.0	Windows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)	15.0.0	Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)	15.0.1	Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)	13.4.0/ 13.4.0A/ 13.4.0B	Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)	13.5.0	Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)	15.0.0	Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)	15.0.1	Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition クライアント	15.1.0	Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)/ Windows Server 2012 R2(x64)	-	発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版)	13.4.0/ 13.4.0A/ 13.4.0B	Red Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86)	-	発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版)	13.5.0	Red Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版)	13.4.0/ 13.4.0A	Red Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版)	13.5.0	Red Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64)	-	未定
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版)	13.4.0/ 13.4.0A	Solaris 9/ Solaris 10	-	発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版)	13.5.0	Solaris 9/ Solaris 10	-	未定

Interstage Business Analytics Modeling Server[※1]
製品名	バージョン	対象OS	パッケージ名	Patch ID
Interstage Business Analytics Modeling Server	V1.0.0	Windows Server 2008 R2/ Windows Server 2012	-	未定
Interstage Business Analytics Modeling Server	V1.0.0	Red Hat Enterprise Linux 6	-	未定

Symfoware Analytics Server[※2]
製品名	バージョン	対象OS	パッケージ名	Patch ID
Symfoware Analytics Server Standard Edition	V12.0.0	Windows Server 2008 R2	-	未定
Symfoware Analytics Server Standard Edition	V12.0.0	Red Hat Enterprise Linux 6(Intel64)	-	未定

[※1]Interstage Business Analytics Modeling Server V1.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
[※2]Symfoware Analytics Server Standard Edition (64bit) V12.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
注意）修正情報などの入手は、 FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。

参考: 該当製品の確認方法

BPMA,BAMS,SymfoAS SEの場合
- Windows版の場合
  1. [スタートボタン]から[すべてのプログラム]を選択し、ご利用になっている製品名のグループにある[ソフトウェア説明書]を開きます。
  2. [ソフトウェア説明書]の上部に製品名と共にバージョンレベルの記載があります。
- Linux版の場合
  1. コンソール画面より以下のコマンドを入力します。
    #rpm -qi FJSVibpma
  2. コマンドの出力中にバージョンが表示されます。
- Solaris版の場合
  1. コンソール画面より以下のコマンドを入力します。
    #pkginfo -l FJSVibpma
  2. コマンドの出力中にバージョンが表示されます。
SQC EE場合
- Windows版の場合
  以下のレジストリキーの有無
  - 32bitの場合
    HKEY_LOCAL_MACHINE¥SOFTWARE¥Fujitsu¥INTS-BPMMW¥11.00.0001
  - 64bitの場合
    HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Fujitsu¥INTS-BPMMW¥11.00.0001
- Solaris版の場合
  - パッケージ情報
    PKG=FJSVibpma
    NAME=Interstage Business Process Manager Analytics
    VERSION=11.1.0
    IBPMA_RELEASE=5
    PSTAMP=ymir20110222134804
- Linux版の場合
  - パッケージ情報
    Summary: Interstage Business Process Manager Analytics
    Name: FJSVibpma
    Version: 11.1.0
    Release: 5

3-3. 回避方法

IPS(Intrusion Prevention System)製品を使用している場合は、次の正規表現に該当する文字列を含むパラメタのリクエストを拒否します。
(^|¥¥W)[cC]lass¥¥W
サーブレットフィルタを実装して、BPMA, SQC EE, BAMS, SymfoAS SEへ適用します。
1. 下記の例のようなJavaプログラムをコンパイルして、クラスファイルを作成する。
  
  [プログラムの例（クラス名は任意）]
  ------
  package com.fujitsu.patch;
  
  import javax.servlet.Filter;
  ...(省略)...
  import java.util.regex.Pattern;
  
  public class BPMStrutsFilter implements Filter {
      static Pattern EXCLUDE_PATTERN = Pattern.compile("(^|¥¥W)[cC]lass¥¥W");
      public void doFilter(ServletRequest req, ServletResponse res,
          FilterChain filter) throws IOException, ServletException {
        req.setCharacterEncoding("UTF-8");
        Enumeration params = ((HttpServletRequest)req).getParameterNames();
        while (params.hasMoreElements()) {
          String name = (String) params.nextElement();
          if (EXCLUDE_PATTERN.matcher(name).find()) {
            throw new IllegalArgumentException(name);
          }
        }
        filter.doFilter(req, res);
      }
      public void init(FilterConfig filterConfig) throws ServletException {
      }
      public void destroy() {
      }
    }
  
  ------
2. BPMAのアプリケーションサーバ用warファイル展開先のWEB-INF配下に配置されているweb.xmlに対して、1)で作成したクラスをフィルタとして指定する。
  例えばInterstage J2EE(Linux)の場合:/var/opt/FJSVj2ee/deployment/ijserver/IBPMMServer/apps/ibpmm.war/WEB-INF
  [web.xml記入例（filter-nameに指定する名前は任意）]
  - BPMA V11.0/V11.1 ,SQC EE V13.4/V13.5の場合
    ------
    <web-app>
      ...
      <filter>
        <filter-name>BPMStrutsFilter</filter-name>
        <filter-class>com.fujitsu.patch.BPMStrutsFilter</filter-class>
      </filter>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>*.do</url-pattern>
      </filter-mapping>
      ...
    </web-app>
    ------
  - BPMA V12.0/V12.1/V12.2 , SQC EE V15.0/V15.1, BAMS, SymfoAS SEの場合
    以下のfilter-mapping要素は、他のfilter-mapping要素よりも
    先に記述する必要があります。
    ------
    <web-app>
    ...
      <filter>
        <filter-name>BPMStrutsFilter</filter-name>
        <filter-class>com.fujitsu.patch.BPMStrutsFilterit;/filter-class>
      </filter>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>/admintool/*</url-pattern>
      </filter-mapping>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>/dashboard/*</url-pattern>
      </filter-mapping>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>/mobile/*</url-pattern>
      </filter-mapping>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>/studio/*</url-pattern>
      </filter-mapping>
      <filter-mapping>
        <filter-name>BPMStrutsFilter</filter-name>
        <url-pattern>/struts/*</url-pattern>
      </filter-mapping>
        ...
    </web-app>
    ------
3. ii)のWEB-INF配下に「classes」フォルダを作成し、そこにi)で作成したクラスファイルを以下のルールに従って配備する。
  classes配下のフォルダ階層は1)で作成したクラスのパッケージ名の階層に合わせて作成し、その配下に配備します。
  例)パッケージ名がcom.fujitsu.patchの場合1のクラスファイルの配備先は、classes¥com¥fujitsu¥patch
4. BPMAのアプリケーションサーバを再起動して、設定を反映させる。
  - BAMS、SymfoAS SEのダッシュボード機能を使用している場合
    bpmstopコマンドを実行し、脆弱性の影響を受けるサービスを停止します。
    ただし、ダッシュボードが使用不可となります。
    bpmstopコマンドの詳細は、マニュアル「Interstage Business Process Manager Analytics V12.1」の「使用手引書（管理コンソール）」の「6.2.1.2 bpmstop」を参照してください。引数に指定するスーパーユーザーのパスワードには、「プレゼンテーション機能の管理者パスワード」を指定してください。

4. 関連情報

JVNDB-2014-001603
「Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性」
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html

5. 改版履歴

2014年6月3日第2版
- 「3-2. 該当製品・対策Patch」へ Interstage Business Process Manager Analytics 12.1 （Solaris 11）を追加
- 「3-3. 回避方法」の記載誤りを訂正
2014年5月19日新規掲載