Interstage List Works: 保管フォルダ・帳票のアクセス権の脆弱性 (2012年3月26日)
1. 脆弱性の説明
管理者ツールまたはコマンドで、保管フォルダ・帳票に対してユーザ名を指定してアクセス権を設定すると、このアクセス権が有効にならないことがある問題を検出しました。
Interstage List Worksについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/listworks/
富士通は、3-3. 回避方法を提供していますので、早急に対応願います。
2. 脆弱性のもたらす脅威
Everyoneまたはグループに許可型のアクセス権(注1)を設定し、これに属する特定のユーザに拒否型のアクセス権(注2)を設定すると、このユーザの拒否型のアクセス権(注2)が有効にならずに、Everyoneまたはグループの許可型のアクセス権(注1)が有効になります。
この結果、このユーザでList Worksサーバに接続すると、アクセス権がない帳票を参照できるようになり、帳票データの漏洩や、帳票の不当な削除の脅威が考えられます。
注1) 許可型のアクセス権設定とは、「グループAが帳票を参照できる」というアクセス権の設定方法
注2) 拒否型のアクセス権設定とは、「ユーザAが帳票を参照できない」というアクセス権の設定方法
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, GP5000, FMシリーズ, その他(AT互換機)
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | Patch ID |
|---|---|---|---|
| Interstage List Works Enterprise Edition | V7.0L10 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | V7.0L10 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | V7.0L10A | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | V7.0L10A | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | V7.0L10B | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | V7.0L10B | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | V7.0L10C | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | V7.0L10C | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | V7.0L10D | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | V7.0L10D | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | 8.0.0 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | 8.0.0 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | 8.0.1 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Standard Edition | 8.0.1 | Windows 2000 Server/ Windows Server 2003 | 発行予定なし |
| Interstage List Works Enterprise Edition | V9.0.1 | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Standard Edition | V9.0.1 | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Enterprise Edition | V9.0.1A | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Standard Edition | V9.0.1A | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Enterprise Edition | V9.1.0 | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Standard Edition | V9.1.0 | Windows 2000 Server/ Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Enterprise Edition | V10.0.0 | Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Standard Edition | V10.0.0 | Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Enterprise Edition | V10.1.0 | Windows Server 2003 / Windows Server 2008 | 発行予定なし |
| Interstage List Works Standard Edition | V10.1.0 | Windows Server 2003 / Windows Server 2008 | 発行予定なし |
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
以下の方法で回避してください。
- Everyoneのアクセス権を設定している場合
以下の方法でアクセス権を設定しなおしてください。- Everyoneのアクセス権を削除する、かつ
- 権限を与えるユーザのグループを作成する(権限を与えないユーザは含めない)、かつ
- ⅱ)のグループに許可型のアクセス権を設定する
- グループのアクセス権を設定している場合
権限を与えないユーザをグループからはずしてください。
4. 関連情報
ありません。
5. 改版履歴
- 2012年3月26日 新規掲載
