Systemwalker Resource Coordinator Virtual server Edition/ ServerView Resource Coordinator/ ServerView Resource Orchestrator: Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2014年3月20日)

1. 脆弱性の説明

Systemwalker Resource Coordinator Virtual server Edition（以降SWRC-VE）, ServerView Resource Coordinator（以降RCVE）およびServerView Resource Orchestrator（以降ROR）に組み込んでいるRuby on RailsにCVE-2013-0156（注意1）セキュリティ脆弱性があることが確認されました。

（注意1）Ruby on RailsのCVE-2013-0156脆弱性によって、攻撃者がhttpサーバ上で任意の処理を実行できる可能性があります。

SWRC-VE, RCVE, RORについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/rcve/
http://www.fujitsu.com/jp/products/software/infrastructure-software/infrastructure-software/rcve/
http://www.fujitsu.com/jp/products/software/infrastructure-software/infrastructure-software/ror/

富士通は、「3-3. 回避方法」に示す回避方法を公開しているので、回避方法を早急に実施するようにお願いします。

2. 脆弱性のもたらす脅威

本脆弱性によって、権限のない第3者（攻撃者）が、インターネット接続を通じてSWRC-VE/ RCVE/ RORの管理サーバ上で、任意のコード実行が可能です。攻撃者は、httpリクエスト経由でSWRC-VE/ RCVE/ RORの管理サーバへ不正なコードを送信し、これら管理サーバのサービスを停止できます。
これにより、SWRC-VE/ RCVE/ RORは、正常に動作できなくなります。

本脆弱性の深刻度に関しては、「4.関連情報」に記載するMITRE社の公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY

3-2.該当製品・対策Patch

・Systemwalker Resource Coordinator
・ServerView Resource Coordinator
・ServerView Resource Orchestrator

Systemwalker Resource Coordinator
製品名	バージョン	対象OS	パッケージ名	Patch ID
Systemwalker Resource Coordinator Virtual server Edition	13.3.0	Windows	-	発行予定あり

ServerView Resource Coordinator
製品名	バージョン	対象OS	パッケージ名	Patch ID
ServerView Resource Coordinator VE Standard	V2.1.0	Windows	-	発行予定あり
ServerView Resource Coordinator VE Enterprise	V2.1.0	Windows	-	発行予定あり
ServerView Resource Coordinator VE Compactセット	V2.1.0	Windows	-	発行予定あり
ServerView Resource Coordinator VE Standard	V2.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Coordinator VE Enterprise	V2.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Coordinator VE Compactセット	V2.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Coordinator VE Standard	V2.1.2	Windows	-	T004023WP-05
ServerView Resource Coordinator VE Standard	V2.1.2	Linux	FJSVrcvmr	T004025LP-06
ServerView Resource Coordinator VE Enterprise	V2.1.2	Windows	-	T004023WP-05
ServerView Resource Coordinator VE Enterprise	V2.1.2	Linux	FJSVrcvmr	T004025LP-06
ServerView Resource Coordinator VE Compactセット	V2.1.2	Windows	-	T004023WP-05
ServerView Resource Coordinator VE Standard	V2.1.3	Windows	-	T004024WP-12
ServerView Resource Coordinator VE Standard	V2.1.3	Linux	FJSVrcvmr	T004026LP-10
ServerView Resource Coordinator VE Enterprise	V2.1.3	Windows	-	T004024WP-12
ServerView Resource Coordinator VE Enterprise	V2.1.3	Linux	FJSVrcvmr	T004026LP-10
ServerView Resource Coordinator VE Compactセット	V2.1.3	Windows	-	T004024WP-12
ServerView Resource Coordinator VE Standard	V2.2.0	Windows	-	T004646WP-16
ServerView Resource Coordinator VE Standard	V2.2.0	Linux	FJSVrcvmr	T004647LP-11
ServerView Resource Coordinator VE Enterprise	V2.2.0	Windows	-	T004646WP-16
ServerView Resource Coordinator VE Enterprise	V2.2.0	Linux	FJSVrcvmr	T004647LP-11
ServerView Resource Coordinator VE Compactセット	V2.2.0	Windows	-	T004646WP-16
ServerView Resource Coordinator VE Standard	V2.2.2	Windows	-	T005054WP-17
ServerView Resource Coordinator VE Standard	V2.2.2	Linux	FJSVrcvmr	T005069LP-10
ServerView Resource Coordinator VE Enterprise	V2.2.2	Windows	-	T005054WP-17
ServerView Resource Coordinator VE Enterprise	V2.2.2	Linux	FJSVrcvmr	T005069LP-10
ServerView Resource Coordinator VE Compactセット	V2.2.2	Windows	-	T005054WP-17

ServerView Resource Orchestrator
製品名	バージョン	対象OS	パッケージ名	Patch ID
ServerView Resource Orchestrator	V2.2.0	Windows	-	発行予定あり
ServerView Resource Orchestrator	V2.2.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator	V2.2.1	Windows	-	発行予定あり
ServerView Resource Orchestrator	V2.2.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator	V2.2.2	Windows	-	発行予定あり
ServerView Resource Orchestrator	V2.2.2	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator	V2.3.0	Windows	-	発行予定あり
ServerView Resource Orchestrator	V2.3.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.0.0	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.0.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.0.0	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.0.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Express	V3.1.0	Windows	-	発行予定あり
ServerView Resource Orchestrator Express	V3.1.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.0	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.0	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.0	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Express	V3.1.0A	Windows	-	発行予定あり
ServerView Resource Orchestrator Express	V3.1.0A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.0A	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.0A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.0A	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.0A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Express	V3.1.1	Windows	-	発行予定あり
ServerView Resource Orchestrator Express	V3.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.1	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.1	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.1	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Express	V3.1.1A	Windows	-	発行予定あり
ServerView Resource Orchestrator Express	V3.1.1A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.1A	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.1A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.1A	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.1A	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Express	V3.1.2	Windows	-	発行予定あり
ServerView Resource Orchestrator Express	V3.1.2	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.2	Windows	-	発行予定あり
ServerView Resource Orchestrator Virtual Edition	V3.1.2	Linux	FJSVrcvmr	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.2	Windows	-	発行予定あり
ServerView Resource Orchestrator Cloud Edition	V3.1.2	Linux	FJSVrcvmr	発行予定あり

パッチ入手に関しては、当社サポートセンターにお問い合わせください。

【補足】対象OSについて補足します。

Windows
サポートするWindowsは以下。
- Windows Server 2012 R2 Standard
- Windows Server 2012 R2 Datacenter
- Windows Server 2012 Standard
- Windows Server 2012 Datacenter
- Windows Server 2008 Standard (x86, x64)
- Windows Server 2008 Enterprise (x86, x64)
- Windows Server 2008 R2 Standard
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Datacenter
- Windows Server 2003 R2, Standard Edition (x86, x64)
- Windows Server 2003 R2, Enterprise Edition (x86, x64)
Linux
サポートするLinuxは以下。
- Red Hat Enterprise Linux 6.4 (x86, Intel64)
- Red Hat Enterprise Linux 6.3 (x86, Intel64)
- Red Hat Enterprise Linux 6.2 (x86, Intel64)
- Red Hat Enterprise Linux 6.1 (x86, Intel64)
- Red Hat Enterprise Linux 6(x86, Intel64)
- Red Hat Enterprise Linux 5.8 (x86, Intel64)
- Red Hat Enterprise Linux 5.7 (x86, Intel64)
- Red Hat Enterprise Linux 5.6 (x86, Intel64)
- Red Hat Enterprise Linux 5.5 (x86, Intel64)
- Red Hat Enterprise Linux 5.4 (x86, Intel64)
- Red Hat Enterprise Linux 5.3 (x86, Intel64)

なお、各製品のバージョンによって、サポートするOSが異なるので、詳細は各製品のマニュアルを参照してください。

参考: 該当製品の確認方法

Windows環境の場合
- Windows Server 2003の場合
  1. ［スタート］ボタンから［コントロールパネル］-［プログラムの追加と削除］をクリックしてください。
  2. ［プログラムの追加と削除］画面で、［現在インストールされているプログラム］で以下のいずれかが一覧に表示されていることを確認してください。
    - Systemwalker Resource Coordinator Virtual server Edition Manager （SWRC-VEの場合）
    - ServerView Resource Coordinator VE Manager （RCVEの場合）
    - ServerView Resource Orchestrator Manager（RORの場合）
    一覧にない場合、該当製品はインストールされていないので、以降の手順は不要です。
  3. 上で表示されるソフトウェアを選択し、［サポート情報を参照するには、ここをクリックしてください。］というリンクをクリックしてください。
    すると、［サポート情報］の画面が表示されます。
  4. ［サポート情報］の画面で、［Version］を確認してください。
    「3-2. 該当製品・対策Patch」の「バージョン」の一覧と一致していれば、インストールされているSWRC-VE/ RCVE/ RORは該当すると判断します。
- Windows Server 2008/ Windows Server 2012の場合
  1. ［スタート］ボタンから［コントロールパネル］を起動してください。
    ［コントロールパネル］画面で［プログラムと機能］をクリックしてください。
  2. ［プログラムと機能］画面で、［現在インストールされているプログラム］で以下のいずれかが一覧に表示されていることを確認してください。
    - Systemwalker Resource Coordinator Virtual server Edition Manager （SWRC-VEの場合）
    - ServerView Resource Coordinator VE Manager （RCVEの場合）
    - ServerView Resource Orchestrator Manager（RORの場合）
    一覧にない場合、該当製品はインストールされていないので、以降の手順は不要です。
  3. 上で表示されるソフトウェアを選択してください。すると、［プログラムと機能］の下画面に製品の情報が表示されます。
  4. 製品情報の画面で、［製品バージョン］を確認してください。
    「3-2. 該当製品・対策Patch」の「バージョン」の一覧と一致していれば、インストールされているSWRC-VE/ RCVE/ RORは該当すると判断します。
Linux環境の場合
1. ［端末］を起動してください。
2. 端末で以下のコマンドを実行し、RCVEまたはRORがインストールされていることを確認してください。
  #/bin/rpm -qi FJSVrcvmr
3. 上の実行結果でRCVE/ RORのバージョンは［Version］で表示されます。
  「3-2. 該当製品・対策Patch」の「バージョン」の一覧と一致していれば、インストールされているRCVE/ RORは該当すると判断します。

3-3. 回避方法

Windows環境の場合
1. Administratorあるいは管理者権限のアカウントでSWRC-VE/ RCVE/ ROR管理サーバにログインしてください。
2. Windows explorerで<SWRC-VE/RCVE/RORインストール先>¥Manager¥rails¥config¥initializersに移動してください。
  注）<SWRC-VE/RCVE/RORインストール先>はSWRC-VE/RCVE/RORのインストールディレクトリを表しています。
3. 上のフォルダ配下に「CVE-2013-0156.rb」の有無を確認してください。
  1. 「CVE-2013-0156.rb」が存在する場合、回避手順は既に実施されているため、以降の手順は実施不要。
  2. 「CVE-2013-0156.rb」が存在しない場合、テキストエディタで、以下の2行を内容とする「CVE-2013-0156.rb」を上記フォルダ配下へ作成してください。
    ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('symbol')
    ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('yaml')
4. コマンドプロンプトを開き、以下のコマンドでSWRC-VE/ RCVE/ RORのマネージャーを再起動してください。
  <SWRC-VE/RCVE/RORインストール先>¥Manager¥bin¥rcxmgrctl stop
  <SWRC-VE/RCVE/RORインストール先>¥Manager¥bin¥rcxmgrctl start
Linux環境の場合
1. rootアカウントでRCVE/ ROR管理サーバにログインしてください。
2. 端末を起動し、/opt/FJSVrcvmr/rails/config/initializers/に移動してください。
  #cd /opt/FJSVrcvmr/rails/config/initializers/
3. 上のディレクトリ配下に「CVE-2013-0156.rb」の有無を確認してください。
  #ls -l CVE-2013-0156.rb
  1. 「CVE-2013-0156.rb」が存在している場合、回避方法が実施されているため、以降の手順は実施不要。
  2. 「CVE-2013-0156.rb」が存在しない場合、以下の2行を内容とする「CVE-2013-0156.rb」を上記フォルダ配下へ作成してください。
    ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('symbol')
    ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('yaml')
    
    以下はechoコマンドを用いる例を示します。
    
    #echo "ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('symbol')" >> CVE-2013-0156.rb
    #echo "ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('yaml')" >> CVE-2013-0156.rb
4. 以下のコマンドでRCVE/RORのマネージャーを再起動してください。
  #/opt/FJSVrcvmr/bin/rcxmgrctl stop
  #/opt/FJSVrcvmr/bin/rcxmgrctl start

［備考］上記の回避方法はSWRC-VE/ RCVE/ RORの機能に影響しません。

4. 関連情報

Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156)
MITRE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0156

5. 改版履歴

2014年3月20日第2版
- 「3-2.該当製品・対策Patch」で以下の内容を変更
  - 影響製品を追加
  - 「製品名」の一部変更
  - 「Patch ID.」の一部を「発行予定あり」から該当Patch IDに変更
  - 【補足】に対象OSを追加
  - 「参考: 該当製品の確認方法」に確認すべき製品情報を追加
2013年3月13日新規掲載