iPlanet Web Serverの検索機能を不正使用したシステム情報の不正入手 (2002年7月26日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | サーバ内にあるシステム情報が漏洩する問題 |
製品提供元: | 富士通株式会社 |
該当製品: | WindowsNT iPlanet Web Server6.0 SP1~SP3
Windows2000 iPlanet Web Server6.0 SP1~SP3 |
該当システム: | PRIMERGY, GP5000 |
システムへの影響: | 検索機能を不正使用してシステム情報の内容が不正に入手できてしまう方法が存在する。 |
一時的な回避方法: | 4.に示します。 |
パッチ: | なし。 |
1. 背景
iPlanet Web Serverの検索機能を不正に使用した場合にマシン情報が漏洩してしまうことがわかりました。
2. 該当システムの範囲
製品名 | 対象OS |
---|---|
iPlanet Web Server 6.0 SP1 | WindowsNT |
iPlanet Web Server 6.0 SP1 | Windows2000 |
尚、現在富士通で商品化しているのはiPlanet Web Server6.0SP1までですが、本現象はiPlanet最新パッケージのSP3でも発生しております。
3. 発見されている問題点
iPlanet Web Serverの検索機能(Search State)を有効にしているシステムにおいて、本機能を不正に使用することによって、システム情報を不正に入手することが可能となる問題がありました。
4. 一時的な回避方法
サーバで検索機能を使用しないように設定する。(デフォルトはoffです)
管理サーバ画面から、該当のインスタンスを指定し、
[Search]->[Search State]
Search State: offにチェックし->[OK]を押下
Applyを押下
5. パッチ情報
なし
6. 改版履歴
- 2002年7月26日 新規掲載