Interstage Business Application Server：TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性(CVE-2016-1183)(2016年6月7日)

1. 脆弱性の説明

該当製品が提供するTERASOLUNA Server Framework for Java(WEB)はブラウザからのリクエストに対し、任意の拡張子をもつコンテンツへのアクセスを制限する機能を備えていますが、この制限を回避する脆弱性が確認されました。

Interstage Business Application Serverについては以下のページを参照してください。
基幹オンラインシステム基盤 FUJITSU Software Interstage Business Application Server

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Webアプリケーションが動作するサーバーが本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、サーバ上のファイルが読み取られる可能性があります。

［脆弱性の影響を受ける一般的な例］
Webアプリケーションが動作するサーバーが、そのシステム外からの不正なHTTPリクエストを受け取った場合、脆弱性の影響を受ける可能性があります。
該当製品が動作するサーバーのネットワーク構成をご確認ください。

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC M10, その他(AT互換機)

3-2.該当製品・対策Patch

Interstage Business Application Server
製品名	バージョン	対象OS	パッケージ名	Patch ID
Interstage Business Application Server Enterprise Edition	V9.2.0	RHEL-AS4(IPF)/ RHEL5(IPF)	FJSVibsjf	T005089QP-06
Interstage Business Application Server Enterprise Edition	V9.2.0	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Enterprise Edition	V9.2.0A	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Enterprise Edition	V9.2.1	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009587LP-05
Interstage Business Application Server Enterprise Edition	V10.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Enterprise Edition	V10.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009606LP-05
Interstage Business Application Server Enterprise Edition	V11.1.1	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T010883LP-03
Interstage Business Application Server Enterprise Edition	V11.2.0	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T012325LP-01
Interstage Business Application Server Standard Edition	V9.2.0	RHEL-AS4(IPF)/ RHEL5(IPF)	FJSVibsjf	T005089QP-06
Interstage Business Application Server Standard Edition	V9.2.0	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Standard Edition	V9.2.0A	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Standard Edition	V9.2.1	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009587LP-05
Interstage Business Application Server Standard Edition	V10.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Standard Edition	V10.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Standard Edition	V11.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Standard Edition	V11.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Standard Edition	V11.1.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009606LP-05
Interstage Business Application Server Standard Edition	V11.1.1	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T010883LP-03
Interstage Business Application Server Standard Edition	V11.2.0	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T012325LP-01
Interstage Business Application Server Standard Edition	V9.2.1	RHEL-AS4(x86)/ RHEL-AS4(EM64T)/ RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009586LP-05
Interstage Business Application Server Standard Edition	V10.0.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009589LP-05
Interstage Business Application Server Standard Edition	V10.0.0A	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009589LP-05
Interstage Business Application Server Standard Edition	V11.0.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009598LP-05
Interstage Business Application Server Standard Edition	V11.1.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009605LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009603XP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009609XP-05
Interstage Business Application Server Standard Edition	V11.0.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009603XP-05
Interstage Business Application Server Standard Edition	V11.1.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009609XP-05
Interstage Business Application Server Standard Edition	V9.2.0	Windows 2000 Server / Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008	FJSVibsjf	T005086WP-06
Interstage Business Application Server Standard Edition	V10.0.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2	FJSVibsjf	T009593WP-05
Interstage Business Application Server Standard Edition	V10.1.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2	FJSVibsjf	T009595WP-05
Interstage Business Application Server Standard Edition	V11.0.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009602WP-05
Interstage Business Application Server Standard Edition	V11.1.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009608WP-05
Interstage Business Application Server Enterprise Edition	V9.2.0	Solaris 9/ Solaris 10	FJSVibsjf	T004768SP-10
Interstage Business Application Server Enterprise Edition	V10.0.0	Solaris 9/ Solaris 10	FJSVibsjf	T009592SP-05
Interstage Business Application Server Enterprise Edition	V10.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Enterprise Edition	V10.1.0A	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	Solaris 10/ Solaris 11	FJSVibsjf	T009601SP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009607SP-05
Interstage Business Application Server Standard Edition	V9.2.0	Solaris 9/ Solaris 10	FJSVibsjf	T004768SP-10
Interstage Business Application Server Standard Edition	V10.0.0	Solaris 9/ Solaris 10	FJSVibsjf	T009592SP-05
Interstage Business Application Server Standard Edition	V10.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Standard Edition	V10.1.0A	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Standard Edition	V11.0.0	Solaris 10/ Solaris 11	FJSVibsjf	T009601SP-05
Interstage Business Application Server Standard Edition	V11.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009607SP-05

対策Patchに関しては、ご契約のサービスサポート窓口までお問い合わせください。

参考: 該当製品の確認方法

製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。

3-3. 回避方法

ありません。

4. 関連情報

JVN#74659077
TERASOLUNA Server Framework for Java(WEB) の拡張子直接アクセス禁止機能における制限回避の脆弱性
https://jvn.jp/jp/JVN74659077/index.html
CVE-2016-1183
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1183

5. 改版履歴

2016年6月7日新規掲載