CVE-2014-0094 CVE-2014-0114

「ClassLoader を操作されるApache Strutsの脆弱性」への富士通製品の対応について

平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。

Apache Software Foundationが提供するStrutsに、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113、CVE-2014-0114、CVE-2014-0116)が存在します。

掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報をご案内いたします。
一覧に無いその他の製品につきましては、各製品のページで順次ご案内していきます。

影響

◇ ソフトウェア製品
ブランド製品影響備考
InterstageInterstage Business Application Server
V8.0 から V11.1.0
有り詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0114)」 をご確認ください。
Interstage Application Framework Suite
Enterprise Edition/ Standard Edition
V6 から V7
(ClientJ Editionは影響ありません。)
有り
Interstage Application Server
Enterprise Edition V6からV11.0
Plus/ Plus Developr/ Standard Edition V6 から V7
Standard-J Edition V8 から V11.0
(Web-J Editionは影響ありません。)
有り
Interstage Studio
Enterprise Edition V9
Standard-J Edition V9/ V10/ V11.0
with UML Modeling Tool V9
(クライアント運用パッケージは影響ありません。)
有り
Interstage Apworks V6/ V7/ V8
Standard Edition V6/ V7
Standard-J Edition V8
(クライアント運用パッケージは影響ありません。)
有り
Interstage Job Workload Server
V8 から V9.3.2
有り
Interstage Service Integrator V9有り
Interstage Interaction Manager V9 から V10有り詳細は、製品情報ページ「Struts1の脆弱性(CVE-2014-0094)」 をご確認ください。
Interstage Mobile Manager V8有りサポート終了に伴い、詳細情報の掲載終了
Interstage Application Development Cycle Manager有り詳細は、製品情報ページ「strutsの脆弱性(CVE-2014-0094)」 をご確認ください。
Interstage eXtreme Transaction Processing Server
1.0.0 から 1.1.0
有り当製品の管理コンソール(XTP管理コンソール)を利用している場合、本脆弱性の影響を受ける可能性があります。
Interstage Business Process Manager Analytics
V10.0 から V12.2
有り詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。
Interstage Business Analytics Modeling Server V1有り
Interstage Navigator Explorer Server V6 から V8有り詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0114)」 をご確認ください。
ServerViewServerView Resource Orchestrator
Cloud Edition V3.0.0/ V3.1.0 / V3.1.1 / V3.1.2
(Virtual Edition、Express、NSオプションは影響ありません。)
有り当製品の管理サーバのアカウントが知られており、かつ この管理サーバへHTTPリクエストが通るような環境の場合、本脆弱性の影響を受ける可能性があります。
SystemwalkerSystemwalker Service Quality Coordinator Enterprise Edition
V13.4.0 から V15.1.0
(Browser AgentとStandard Editionは影響ありません。)
有り詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。
Systemwalker Service Catalog Manager V14g
V14.1
有り当製品の管理サーバのアカウントが知られており、かつこの管理サーバへHTTPリクエストが通るような環境の場合、本脆弱性の影響を受ける可能性があります。
Systemwalker Software Configuration Manager
V15.1/ V15.1.1/ V15.2
Systemwalker Software Configuration Manager V14g
V14.0/ V14.1
有りイントラネット内で悪意のある利用者が、本製品の管理サーバへ不正なリクエストを送信した場合、本脆弱性の影響を受ける可能性があります。
TRIOLETRIOLE クラウドミドルセット Bセット
V1.1.0 から V1.1.2
(Aセットは影響ありません。)
有りServerView Resource Orchestrator V3.1.1, V3.1.2を参照願います。
クラウド インフラ マネージメント ソフトウェア
1.1.0/ 1.2.0
(1.0.0は影響ありません。)
有りSystemwalker Service Catalog Manager V14.1 及び Systemwalker Software Configuration Manager V14.1を参照願います。
FUJITSU Integrated System HA Database Ready SX1/ SX2有り詳細は、製品情報ページ「Struts2の脆弱性(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0116)」 をご確認ください。
SymfowareSymfoware Server
Lite Edition/ Standard Edition
V12.0
有り詳細は、製品情報ページ「Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116)」 をご確認ください。
Symfoware Analytics Server Standard Edition
V12.0.0
有り詳細は、製品情報ページ「攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094)」 をご確認ください。
VMware有り詳細は、VMware社の公開情報VMware vCenter Operations Management Suite workaround and remediation for CVE-2014-0094 and CVE-2014-0112 (2081470) (英語サイト)、およびVMware Security Advisories VMSA-2014-0007 (英語サイト)をご確認ください。
◇ ハードウェア添付のソフトウェア
ブランド製品影響備考
現在のところ、影響製品は確認されていません。
◇ ハードウェア製品
ブランド製品影響備考
現在のところ、影響製品は確認されていません。

問い合わせ先

  • 各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
    各製品についてのお問い合わせは、お客様専用ホームページ[SupportDesk-Web]からお願いします。

参考情報

更新履歴

  • 2014年7月8日:「影響」で以下を更新
    • 「Interstage Navigator Explorer Server」の備考欄に製品情報へのリンクを記載
  • 2014年6月30日:「影響」で以下を更新
    • 「VMware」を追加
  • 2014年6月19日:「影響」で以下を更新
    • 「FUJITSU Integrated System HA Database Ready SX1/ SX2」の備考欄に製品情報へのリンクを記載
  • 2014年6月12日:「影響」で以下を更新
    • 「Interstage Interaction Manager」を追加
    • 「Interstage Mobile Manager」の備考欄に製品情報へのリンクを記載
  • 2014年6月2日:「影響」で以下を更新
    • 「Symfoware Server」の備考欄に製品情報へのリンクを記載
  • 2014年5月27日:「影響」で以下を更新
    • 「Interstage Navigator Explorer Server」を追加
    • 「Interstage Application Development Cycle Manager」の備考欄に製品情報へのリンクを記載
  • 2014年5月16日:「影響」で以下を更新
    • 「Interstage Business Process Manager Analytics」「Systemwalker Service Quality Coordinator」「Systemwalker Service Quality Coordinator」「Symfoware Analytics Server」の備考欄に製品情報へのリンクを記載
  • 2014年5月16日:「影響」で以下を更新
    • 「Interstage Interaction Manager」を追加
    • 「ServerView Resource Orchestrator」の対象バージョンを詳細化
    • 「TRIOLE クラウドミドルセット Bセット」の備考を修正
  • 2014年5月13日:新規掲載

ページの先頭へ