GTM-MML4VXJ
Skip to main content

English

Japan

お知らせ


お客様各位

2017年9月11日:掲載

2017年9月11日
株式会社富士通ビー・エス・シー

【重要】FENCE-ExplorerのインストーラにおけるDLL読み込みに関する脆弱性について

このたび、FENCE-Explorerのインストーラにおいて、脆弱性が検出されました。
当脆弱性の内容、対処方法についてお知らせいたします。

1.対象製品

製品名

FENCE-Explorer for Windows V8.4.1およびそれ以前

対象OS

Microsoft® Windows® 7、Microsoft® Windows® 8.1、Microsoft® Windows® 10

2.脆弱性

本脆弱性の影響を受けるのはインストーラ起動時のみのため、すでに導入されたお客様への影響はありません。

FENCE-Explorerのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性(CWE-427Open a new window) が存在します。このため、管理者権限で任意のコードを実行される可能性があります。

3.対処方法

今後インストールが必要となる際は、最新のインストーラを使用するようにお願いいたします。
http://www.fujitsu.com/jp/group/bsc/services/fence/downloads/explorer-for-windows.html

ご利用製品のバージョンレベルが不明な場合は、下記「問い合わせ窓口」に記載のメールアドレスへ、製品名とバージョンレベル確認方法問合せと明記してご連絡下さい。

モジュール配置方式で導入する場合、ユーザ自身でファイルの保存場所を選択するため、本脆弱性の影響を受けません。なお、実行ファイル自体にはWindowsアプリケーションによるDLL読み込みやコマンド実行の問題が存在しているため、第三者からの誘導などにより、ファイルの保存場所に細工されたファイルがないかを確認する必要があります。 

参考情報

JVNTA#91240916  Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題Open a new window

4.謝辞

この脆弱性情報公表にあたり、脆弱性報告者である 橘総合研究所 英利 雅美 ⽒ および、ご協力いただいたIPA、JPCERT/CCの方々に謝辞を申し上げます。

【問い合わせ窓口】

FENCEサービスデスク
fence-info@ml.bsc.fujitsu.com

GTM-TGJ93T