Interstage HTTP ServerにおけるApache1.3.31で修正されたセキュリティ脆弱性問題 (2004年7月28日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | Interstage HTTP ServerにおけるApache1.3.31で修正されたセキュリティ脆弱性問題 | ||||||||
製品提供元: | 富士通株式会社 | ||||||||
該当製品: |
| ||||||||
該当システム: | Windows NT, 2000, XP, Server 2003
Solaris 7, 8, 9 OE Turbolinux 7 Server Red Hat Enterprise Linux AS (v. 2.1), (v. 3) Red Hat Enterprise Linux ES (v. 2.1), (v. 3) | ||||||||
システムへの影響: | ・ターミナルエミュレータ上でエラーログまたはアクセスログを表示した際、任意のコードやコマンドが実行される可能性があります。
・クライアントからのリクエストが処理されずにシステム内に滞留し続け、Webサーバとしての機能が使用できなくなります。 | ||||||||
一時的な回避方法: | 4.に示します。 | ||||||||
パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
Interstage Application Server、Interstage Apworks及びInterstage Application Framework Suiteが提供するInterstage HTTP Server(FJapache)において、2件のセキュリティに関する脆弱性の問題を抱えていることが確認されました。2件の脆弱性問題は以下のCVEに該当します。
・CAN-2003-0020 (cve.mitre.org)
・CAN-2004-0174 (cve.mitre.org)
富士通は、この問題に対する情報を提供しておりますので、早急に適用する様にお願いします。
Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 該当システムの範囲
該当コマンド/ファイル | 製品名 | 対象OS |
---|---|---|
ApacheCore.dll | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10 | Windows |
ApacheCore.dll | Interstage Application Server Standard Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10 | Windows |
ApacheCore.dll | Interstage Application Server Web-J Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10A | Windows |
ApacheCore.dll | Interstage Application Server Plus
V5.0L20, V5.0L20A, V6.0L10, V6.0L10A | Windows |
ApacheCore.dll | Interstage Application Server Plus Developer
V5.0L20, V6.0L10 | Windows |
ApacheCore.dll | Interstage Application Framework Suite Enterprise Edition
V6.0L10 | Windows |
ApacheCore.dll | Interstage Application Framework Suite Standard Edition
V6.0L10 | Windows |
ApacheCore.dll | Interstage Application Framework Suite Web Edition
V6.0L10, V6.0L10A | Windows |
ApacheCore.dll | Interstage Apworks Enterprise Edition
V6.0L10, V6.0L10A | Windows |
ApacheCore.dll | Interstage Apworks Standard Edition
V6.0L10, V6.0L10A | Windows |
ApacheCore.dll | Interstage Apworks Modelers-J Edition
V6.0L10 | Windows |
httpd
mod_log_config.so | Interstage Application Server Enterprise Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Server Standard Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Server Web-J Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Server Plus
5.1, 5.1.1, 6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Framework Suite Enterprise Edition
6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Framework Suite Standard Edition
6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Framework Suite Web Edition
6.0 | Solaris OE |
httpd
mod_log_config.so | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10 | Linux |
httpd
mod_log_config.so | Interstage Application Server Standard Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10 | Linux |
httpd
mod_log_config.so | Interstage Application Server Web-J Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10, V6.0L11 | Linux |
httpd
mod_log_config.so | Interstage Application Server Plus
V5.0L20, V6.0L10, V6.0L11 | Linux |
httpd
mod_log_config.so | Interstage Application Framework Suite Enterprise Edition
V6.0L10 | Linux |
httpd
mod_log_config.so | Interstage Application Framework Suite Standard Edition
V6.0L10 | Linux |
httpd
mod_log_config.so | Interstage Application Framework Suite Web Edition
V6.0L10, V6.0L11 | Linux |
3. 発見されている問題点
- ・CAN-2003-0020
- 端末のエスケープシーケンスをエラーログからフィルタリングしていないため、エスケープシーケンスに関連した脆弱性を含むターミナルエミュレータに、攻撃者がこうしたシーケンスを容易に挿入できます。
- ・CAN-2004-0174
- 待ち状態のまま滅多にアクセスされないリスニングソケット上で短時間の接続が起こると、子プロセスが排他処理機構を保持したままにし、新規接続をブロックします。
なお、本セキュリティホールはSolaris OEシステムにのみ影響を与えます。
4. 一時的な回避方法
- ・CAN-2003-0020
- ターミナルエミュレータ上でログファイルを表示する際、エスケープシーケンスに関連した脆弱性を持っているターミナルエミュレータを使用しないでください。
- ・CAN-2004-0174
- 以下のOSパッチを適用することで回避可能です。
Solaris 7 OE:106541-14
Solaris 8 OE:109041-03
Solaris 9 OE:本セキュリティ問題は発生しません。
5. パッチ情報
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition V5.0L10 | Windows | F3FMihs | TP05897 |
Interstage Application Server Standard Edition V5.0L10 | Windows | F3FMihs | TP05897 |
Interstage Application Server Web-J Edition V5.0L10 | Windows | F3FMihs | TP05897 |
Interstage Application Server Enterprise Edition V5.0L10A | Windows | F3FMihs | TP05897 |
Interstage Application Server Standard Edition V5.0L10A | Windows | F3FMihs | TP05897 |
Interstage Application Server Web-J Edition V5.0L10A | Windows | F3FMihs | TP05897 |
Interstage Application Server Enterprise Edition V5.0L10B | Windows | F3FMihs | TP05897 |
Interstage Application Server Standard Edition V5.0L10B | Windows | F3FMihs | TP05897 |
Interstage Application Server Web-J Edition V5.0L10B | Windows | F3FMihs | TP05897 |
Interstage Application Server Enterprise Edition V5.0L20 | Windows | F3FMihs | TP15897 |
Interstage Application Server Standard Edition V5.0L20 | Windows | F3FMihs | TP15897 |
Interstage Application Server Web-J Edition V5.0L20 | Windows | F3FMihs | TP15897 |
Interstage Application Server Plus V5.0L20 | Windows | F3FMihs | TP15897 |
Interstage Application Server Plus Developer V5.0L20 | Windows | F3FMihs | TP15897 |
Interstage Application Server Enterprise Edition V5.0L20A | Windows | F3FMihs | TP15897 |
Interstage Application Server Standard Edition V5.0L20A | Windows | F3FMihs | TP15897 |
Interstage Application Server Web-J Edition V5.0L20A | Windows | F3FMihs | TP15897 |
Interstage Application Server Plus V5.0L20A | Windows | F3FMihs | TP15897 |
Interstage Application Server Enterprise Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Server Standard Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Server Web-J Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Server Plus V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Server Plus Developer V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Server Web-J Edition V6.0L10A | Windows | F3FMihs | TP25897 |
Interstage Application Server Plus V6.0L10A | Windows | F3FMihs | TP25897 |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Framework Suite Standard Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Framework Suite Web Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Application Framework Suite Web Edition V6.0L10A | Windows | F3FMihs | TP25897 |
Interstage Apworks Enterprise Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Apworks Standard Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Apworks Modelers-J Edition V6.0L10 | Windows | F3FMihs | TP25897 |
Interstage Apworks Enterprise Edition V6.0L10A | Windows | F3FMihs | TP25897 |
Interstage Apworks Standard Edition V6.0L10A | Windows | F3FMihs | TP25897 |
Interstage Application Server Enterprise Edition 5.0 | Solaris OE | FJSVihs | 912327-05 |
Interstage Application Server Standard Edition 5.0 | Solaris OE | FJSVihs | 912327-05 |
Interstage Application Server Web-J Edition 5.0 | Solaris OE | FJSVihs | 912327-05 |
Interstage Application Server Enterprise Edition 5.0.1 | Solaris OE | FJSVihs | 912499-03 |
Interstage Application Server Standard Edition 5.0.1 | Solaris OE | FJSVihs | 912499-03 |
Interstage Application Server Web-J Edition 5.0.1 | Solaris OE | FJSVihs | 912499-03 |
Interstage Application Server Enterprise Edition 5.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Standard Edition 5.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Web-J Edition 5.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Plus 5.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Enterprise Edition 5.1.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Standard Edition 5.1.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Web-J Edition 5.1.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Plus 5.1.1 | Solaris OE | FJSVihs | 913075-04 |
Interstage Application Server Enterprise Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Server Standard Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Server Web-J Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Server Plus 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Framework Suite Enterprise Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Framework Suite Standard Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Framework Suite Web Edition 6.0 | Solaris OE | FJSVihs | T0103S-01 |
Interstage Application Server Enterprise Edition V5.0L10 | Linux | FJSVihs | T00019-04 |
Interstage Application Server Standard Edition V5.0L10 | Linux | FJSVihs | T00019-04 |
Interstage Application Server Web-J Edition V5.0L10 | Linux | FJSVihs | T00019-04 |
Interstage Application Server Enterprise Edition V5.0L11 | Linux | FJSVihs | T00034-03 |
Interstage Application Server Standard Edition V5.0L11 | Linux | FJSVihs | T00034-03 |
Interstage Application Server Web-J Edition V5.0L11 | Linux | FJSVihs | T00034-03 |
Interstage Application Server Enterprise Edition V5.0L20 | Linux | FJSVihs | T00091-02 |
Interstage Application Server Standard Edition V5.0L20 | Linux | FJSVihs | T00091-02 |
Interstage Application Server Web-J Edition V5.0L20 | Linux | FJSVihs | T00091-02 |
Interstage Application Server Plus V5.0L20 | Linux | FJSVihs | T00091-02 |
Interstage Application Server Enterprise Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Server Standard Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Server Web-J Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Server Plus V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Server Web-J Edition V6.0L11 | Linux | FJSVihs | T00258-01 |
Interstage Application Server Plus V6.0L11 | Linux | FJSVihs | T00258-01 |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Framework Suite Standard Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Framework Suite Web Edition V6.0L10 | Linux | FJSVihs | T00258-01 |
Interstage Application Framework Suite Web Edition V6.0L11 | Linux | FJSVihs | T00258-01 |
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2004年7月28日 新規掲載