PkiMGRのRA機能で使用するJREの脆弱性の問題 (2002年6月21日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: |
SystemWalker/PkiMGRのRA機能に同梱されているJREを使用して、悪意のあるアプレットにより情報の漏洩やデータ破壊が行われる可能性がある。 |
| 製品提供元: |
富士通株式会社 |
| 該当製品: |
SystemWalker/PkiMGR 10.0
SystemWalker/PkiMGR V10.0L10 |
| 該当システム: |
PRIMEPOWER, PRIMERGY, GP5000, その他PC/AT互換機 |
| システムへの影響: |
悪意のあるアプレットにより情報の漏洩やデータ破壊が行われる可能性がある。 |
| 一時的な回避方法: |
なし。 |
| パッチ: |
あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
サンマイクロシステムズより公開されましたSecurity Bulletin Number 00218です。
JavaVMのBytecode Verifierのキャスト処理にセキュリティホールが見つかっています。通常のJavaアプレットでは、このセキュリティホールを利用することはまずございませんが、バイナリを改変した悪意のあるアプレットであれば、このセキュリティホールを利用してユーザー自身がとることのできる動作をとれる可能性があります。この場合、情報の漏洩やデータ破壊が予測されます。
なお、対象はクライアント側のJavaVMとなります。
発生条件は次のとおりです。
1)Java Plug-inを使用して、かつ、
2)Java Plug-inのプロパティの詳細タグでインストールした製品添付のJREへのパスをとおした状態で、かつ、
3)信頼できないWebサイトからBytecode Verifierのセキュリティホールを利用する、悪意のあるアプレットを読み込んだ場合。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
Systemwalker PkiMGRについては以下のページを参照してください。
http://systemwalker.fujitsu.com/jp/pkimgr/
2. 該当システムの範囲
| 該当コマンド/ファイル |
製品名 |
対象OS |
[インストール先]\PkiMGR\ERA\jre
[インストール先]\PkiMGR\DWN\jre
[インストール先]\PkiMGR\WebGW\jre |
SystemWalker/PkiMGR V10.0L10 |
Windows NT 4.0 Server/
2000 Server |
[インストール先]\PkiMGR\RAO\jre
[インストール先]\PkiMGR\RAC\jre |
SystemWalker/PkiMGR V10.0L10
SystemWalker/PkiMGR 10.0 |
Windows 95/ 98/ Me
Windows NT 4.0/ 2000
Windows XP |
| [インストール先]\PkiMGR\EraSetup\jre |
SystemWalker/PkiMGR 10.0 |
Windows 95/ 98/ Me
Windows NT 4.0/ 2000
Windows XP |
本現象はWindowsで発生する問題です。SysmteWalker/PkiMGR 10.0(PCクライアント)についても該当するファイルはWindows上のファイルになります。
3. 発見されている問題点
悪意のあるアプレットによりローカル資源のアクセスによるデータ破壊や情報漏洩が行われる場合があります。
4. 一時的な回避方法
ありません。
信頼できないWebサイトにアクセスしないようにしてください。
5. パッチ情報
| 製品名 |
対象OS |
パッケージ名 |
Patch ID |
| SystemWalker/PkiMGR 10.0 |
Solaris 2.6/ 7/ 8 |
FJSVpkir
FJSVpkii
FJSVpkio |
TP04458 |
| SystemWalker/PkiMGR V10.0L10 |
Windows 95/ 98/ Me/ 2000/ XP
Windows NT 4.0 |
- |
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
