1. ホーム
  2. 製品
  3. ソフトウェア
  4. ライブラリー
  5. インフォメーション&ダウンロード
  6. ソフトウェア セキュリティ
  7. Interstage HTTP ServerにおけるApache1.3.31で修正されたセキュリティ脆弱性問題 (2004年7月28日)

Interstage HTTP ServerにおけるApache1.3.31で修正されたセキュリティ脆弱性問題 (2004年7月28日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点:Interstage HTTP ServerにおけるApache1.3.31で修正されたセキュリティ脆弱性問題
製品提供元:富士通株式会社
該当製品:
対象OS製品名
WindowsInterstage Application Server Enterprise Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10
Interstage Application Server Standard Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A V6.0L10
Interstage Application Server Web-J Edition V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A V6.0L10, V6.0L10A
Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A
Interstage Application Server Plus Developer V5.0L20, V6.0L10
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A
Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A
Interstage Apworks Standard Edition V6.0L10, V6.0L10A
Interstage Apworks Modelers-J Edition V6.0L10
Solaris OEInterstage Application Server Enterprise Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0
Interstage Application Server Standard Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0
Interstage Application Server Web-J Edition 5.0, 5.0.1, 5.1, 5.1.1, 6.0
Interstage Application Server Plus 5.1, 5.1.1, 6.0
Interstage Application Framework Suite Enterprise Edition 6.0
Interstage Application Framework Suite Standard Edition 6.0
Interstage Application Framework Suite Web Edition 6.0
LinuxInterstage Application Server Enterprise Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10
Interstage Application Server Standard Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10
Interstage Application Server Web-J Edition V5.0L10, V5.0L11, V5.0L20, V6.0L10, V6.0L11
Interstage Application Server Plus V5.0L20, V6.0L10, V6.0L11
Interstage Application Framework Suite Enterprise Edition V6.0L10
Interstage Application Framework Suite Standard Edition V6.0L10
Interstage Application Framework Suite Web Edition V6.0L10, V6.0L11
該当システム:Windows NT, 2000, XP, Server 2003
Solaris 7, 8, 9 OE
Turbolinux 7 Server
Red Hat Enterprise Linux AS (v. 2.1), (v. 3)
Red Hat Enterprise Linux ES (v. 2.1), (v. 3)
システムへの影響:・ターミナルエミュレータ上でエラーログまたはアクセスログを表示した際、任意のコードやコマンドが実行される可能性があります。
・クライアントからのリクエストが処理されずにシステム内に滞留し続け、Webサーバとしての機能が使用できなくなります。
一時的な回避方法:4.に示します。
パッチ:あり。(提供範囲は「5.パッチ情報」を参照)

1. 背景

 Interstage Application Server、Interstage Apworks及びInterstage Application Framework Suiteが提供するInterstage HTTP Server(FJapache)において、2件のセキュリティに関する脆弱性の問題を抱えていることが確認されました。2件の脆弱性問題は以下のCVEに該当します。
  ・CAN-2003-0020 (cve.mitre.org)
  ・CAN-2004-0174 (cve.mitre.org)

 富士通は、この問題に対する情報を提供しておりますので、早急に適用する様にお願いします。

 Interstageについては以下のページを参照してください。
 http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/

2. 該当システムの範囲

該当コマンド/ファイル製品名対象OS
ApacheCore.dllInterstage Application Server Enterprise Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10		Windows
ApacheCore.dllInterstage Application Server Standard Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10		Windows
ApacheCore.dllInterstage Application Server Web-J Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A, V6.0L10, V6.0L10A		Windows
ApacheCore.dllInterstage Application Server Plus
V5.0L20, V5.0L20A, V6.0L10, V6.0L10A		Windows
ApacheCore.dllInterstage Application Server Plus Developer
V5.0L20, V6.0L10		Windows
ApacheCore.dllInterstage Application Framework Suite Enterprise Edition
V6.0L10		Windows
ApacheCore.dllInterstage Application Framework Suite Standard Edition
V6.0L10		Windows
ApacheCore.dllInterstage Application Framework Suite Web Edition
V6.0L10, V6.0L10A		Windows
ApacheCore.dllInterstage Apworks Enterprise Edition
V6.0L10, V6.0L10A		Windows
ApacheCore.dllInterstage Apworks Standard Edition
V6.0L10, V6.0L10A		Windows
ApacheCore.dllInterstage Apworks Modelers-J Edition
V6.0L10		Windows
httpd
mod_log_config.so		Interstage Application Server Enterprise Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Server Standard Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Server Web-J Edition
5.0, 5.0.1, 5.1, 5.1.1, 6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Server Plus
5.1, 5.1.1, 6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Framework Suite Enterprise Edition
6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Framework Suite Standard Edition
6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Framework Suite Web Edition
6.0		Solaris OE
httpd
mod_log_config.so		Interstage Application Server Enterprise Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10		Linux
httpd
mod_log_config.so		Interstage Application Server Standard Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10		Linux
httpd
mod_log_config.so		Interstage Application Server Web-J Edition
V5.0L10, V5.0L11, V5.0L20, V6.0L10, V6.0L11		Linux
httpd
mod_log_config.so		Interstage Application Server Plus
V5.0L20, V6.0L10, V6.0L11		Linux
httpd
mod_log_config.so		Interstage Application Framework Suite Enterprise Edition
V6.0L10		Linux
httpd
mod_log_config.so		Interstage Application Framework Suite Standard Edition
V6.0L10		Linux
httpd
mod_log_config.so		Interstage Application Framework Suite Web Edition
V6.0L10, V6.0L11		Linux

3. 発見されている問題点

・CAN-2003-0020
端末のエスケープシーケンスをエラーログからフィルタリングしていないため、エスケープシーケンスに関連した脆弱性を含むターミナルエミュレータに、攻撃者がこうしたシーケンスを容易に挿入できます。
・CAN-2004-0174
待ち状態のまま滅多にアクセスされないリスニングソケット上で短時間の接続が起こると、子プロセスが排他処理機構を保持したままにし、新規接続をブロックします。
なお、本セキュリティホールはSolaris OEシステムにのみ影響を与えます。

4. 一時的な回避方法

・CAN-2003-0020
ターミナルエミュレータ上でログファイルを表示する際、エスケープシーケンスに関連した脆弱性を持っているターミナルエミュレータを使用しないでください。
・CAN-2004-0174
以下のOSパッチを適用することで回避可能です。
 Solaris 7 OE:106541-14
 Solaris 8 OE:109041-03
 Solaris 9 OE:本セキュリティ問題は発生しません。

5. パッチ情報

製品名対象OSパッケージ名Patch ID
Interstage Application Server Enterprise Edition V5.0L10WindowsF3FMihsTP05897
Interstage Application Server Standard Edition V5.0L10WindowsF3FMihsTP05897
Interstage Application Server Web-J Edition V5.0L10WindowsF3FMihsTP05897
Interstage Application Server Enterprise Edition V5.0L10AWindowsF3FMihsTP05897
Interstage Application Server Standard Edition V5.0L10AWindowsF3FMihsTP05897
Interstage Application Server Web-J Edition V5.0L10AWindowsF3FMihsTP05897
Interstage Application Server Enterprise Edition V5.0L10BWindowsF3FMihsTP05897
Interstage Application Server Standard Edition V5.0L10BWindowsF3FMihsTP05897
Interstage Application Server Web-J Edition V5.0L10BWindowsF3FMihsTP05897
Interstage Application Server Enterprise Edition V5.0L20WindowsF3FMihsTP15897
Interstage Application Server Standard Edition V5.0L20WindowsF3FMihsTP15897
Interstage Application Server Web-J Edition V5.0L20WindowsF3FMihsTP15897
Interstage Application Server Plus V5.0L20WindowsF3FMihsTP15897
Interstage Application Server Plus Developer V5.0L20WindowsF3FMihsTP15897
Interstage Application Server Enterprise Edition V5.0L20AWindowsF3FMihsTP15897
Interstage Application Server Standard Edition V5.0L20AWindowsF3FMihsTP15897
Interstage Application Server Web-J Edition V5.0L20AWindowsF3FMihsTP15897
Interstage Application Server Plus V5.0L20AWindowsF3FMihsTP15897
Interstage Application Server Enterprise Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Server Standard Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Server Web-J Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Server Plus V6.0L10WindowsF3FMihsTP25897
Interstage Application Server Plus Developer V6.0L10WindowsF3FMihsTP25897
Interstage Application Server Web-J Edition V6.0L10AWindowsF3FMihsTP25897
Interstage Application Server Plus V6.0L10AWindowsF3FMihsTP25897
Interstage Application Framework Suite Enterprise Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Framework Suite Standard Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Framework Suite Web Edition V6.0L10WindowsF3FMihsTP25897
Interstage Application Framework Suite Web Edition V6.0L10AWindowsF3FMihsTP25897
Interstage Apworks Enterprise Edition V6.0L10WindowsF3FMihsTP25897
Interstage Apworks Standard Edition V6.0L10WindowsF3FMihsTP25897
Interstage Apworks Modelers-J Edition V6.0L10WindowsF3FMihsTP25897
Interstage Apworks Enterprise Edition V6.0L10AWindowsF3FMihsTP25897
Interstage Apworks Standard Edition V6.0L10AWindowsF3FMihsTP25897
Interstage Application Server Enterprise Edition 5.0Solaris OEFJSVihs912327-05
Interstage Application Server Standard Edition 5.0Solaris OEFJSVihs912327-05
Interstage Application Server Web-J Edition 5.0Solaris OEFJSVihs912327-05
Interstage Application Server Enterprise Edition 5.0.1Solaris OEFJSVihs912499-03
Interstage Application Server Standard Edition 5.0.1Solaris OEFJSVihs912499-03
Interstage Application Server Web-J Edition 5.0.1Solaris OEFJSVihs912499-03
Interstage Application Server Enterprise Edition 5.1Solaris OEFJSVihs913075-04
Interstage Application Server Standard Edition 5.1Solaris OEFJSVihs913075-04
Interstage Application Server Web-J Edition 5.1Solaris OEFJSVihs913075-04
Interstage Application Server Plus 5.1Solaris OEFJSVihs913075-04
Interstage Application Server Enterprise Edition 5.1.1Solaris OEFJSVihs913075-04
Interstage Application Server Standard Edition 5.1.1Solaris OEFJSVihs913075-04
Interstage Application Server Web-J Edition 5.1.1Solaris OEFJSVihs913075-04
Interstage Application Server Plus 5.1.1Solaris OEFJSVihs913075-04
Interstage Application Server Enterprise Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Server Standard Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Server Web-J Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Server Plus 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Framework Suite Enterprise Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Framework Suite Standard Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Framework Suite Web Edition 6.0Solaris OEFJSVihsT0103S-01
Interstage Application Server Enterprise Edition V5.0L10LinuxFJSVihsT00019-04
Interstage Application Server Standard Edition V5.0L10LinuxFJSVihsT00019-04
Interstage Application Server Web-J Edition V5.0L10LinuxFJSVihsT00019-04
Interstage Application Server Enterprise Edition V5.0L11LinuxFJSVihsT00034-03
Interstage Application Server Standard Edition V5.0L11LinuxFJSVihsT00034-03
Interstage Application Server Web-J Edition V5.0L11LinuxFJSVihsT00034-03
Interstage Application Server Enterprise Edition V5.0L20LinuxFJSVihsT00091-02
Interstage Application Server Standard Edition V5.0L20LinuxFJSVihsT00091-02
Interstage Application Server Web-J Edition V5.0L20LinuxFJSVihsT00091-02
Interstage Application Server Plus V5.0L20LinuxFJSVihsT00091-02
Interstage Application Server Enterprise Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Server Standard Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Server Web-J Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Server Plus V6.0L10LinuxFJSVihsT00258-01
Interstage Application Server Web-J Edition V6.0L11LinuxFJSVihsT00258-01
Interstage Application Server Plus V6.0L11LinuxFJSVihsT00258-01
Interstage Application Framework Suite Enterprise Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Framework Suite Standard Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Framework Suite Web Edition V6.0L10LinuxFJSVihsT00258-01
Interstage Application Framework Suite Web Edition V6.0L11LinuxFJSVihsT00258-01

 お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。

6. 改版履歴

  • 2004年7月28日 新規掲載

ページの先頭へ