iPlanet Web Serverの検索機能を不正使用したシステムアカウント情報の不正入手 (2002年8月2日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | サーバ内にあるシステムアカウント情報が漏洩する問題 |
| 製品提供元: | 富士通株式会社 |
| 該当製品: | Solaris2.6, 7, 8
iPlanet Web Server4.1 SP5~9 iPlanet Web Server6.0 SP1, 2 WindowsNT, 2000 iPlanet Web Server6.0 SP1, 2 |
| 該当システム: | GP7000F, PRIMEPOWER, GP-S, 富士通S series, PRIMERGY, GP5000 |
| システムへの影響: | 検索機能を不正使用してシステムアカウント情報の内容を不正に入手できてしまう方法が存在します。 |
| 一時的な回避方法: | 4.に示します。 |
| パッチ: | 製品SPのアップグレードによる修正となります。 |
1. 背景
iPlanet Web Serverの検索機能を不正に使用した場合にアカウント情報が漏洩してしまうことがわかりました。
2. 該当システムの範囲
| 製品名 | 対象OS |
|---|---|
| iPlanet Web Server 4.1 SP5~9 | Solaris2.6, 7, 8 |
| iPlanet Web Server 6.0 SP1, 2 | Solaris2.6, 7, 8 |
| iPlanet Web Server 6.0 SP1, 2 | WindowsNT, 2000 |
3. 発見されている問題点
iPlanet Web Serverの検索機能(Search State)を有効にしているシステムにおいて、本検索機能を不正に使用することによって、システムアカウント情報を不正に入手することが可能となります。
4. 一時的な回避方法
サーバで検索機能を使用しないように設定する。(デフォルトはoffです)
管理サーバ画面から、該当のインスタンスを指定し、
[Search]->[Search State]
Search State: offにチェックし->[OK]を押下
Applyを押下
5. パッチ情報
| 製品名 | 対象OS | Service Pack |
|---|---|---|
| iPlanet Web Server 4.1 SP5~9 | Solaris2.6, 7, 8 | iPlanet Web Server 4.1 SP10 |
| iPlanet Web Server 6.0 SP1, 2 | Solaris2.6, 7, 8 | iPlanet Web Server 6.0 SP3 |
| iPlanet Web Server 6.0 SP1, 2 | WindowsNT, 2000 | iPlanet Web Server 6.0 SP3 |
注)パッチ形態ではなく、製品のSPをアップグレードすることで本件は修正されます。サポート契約をしていただいているユーザの皆様にはアップグレード媒体を提供致しますので、当社サポート連絡窓口までご連絡下さい。
6. 改版履歴
- 2002年8月2日 新規掲載
