Interstage Business Application Server: Spring Securityに認証回避の脆弱性(CVE-2018-1199)(2018年4月17日)
1. 脆弱性の説明
Interstage Business Application Serverが提供するオープンJavaフレームワーク機能において、新たに、認証回避の脆弱性の問題が確認されました。
2. 脆弱性のもたらす脅威
オープンJavaフレームワーク機能TERASOLUNA Server Framework for Java (5.x)で利用している、Spring Securityの認証機能の脆弱性により、第三者から細工されたリクエストを受け取ると、認証が回避される可能性あります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のCVEの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC Servers, その他(AT互換機)
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Business Application Server Standard Edition | 12.0 | Windows Server 2012/ Windows Server 2016 | FJSVibsjf | T014063XP-02 |
| Interstage Business Application Server Enterprise Edition | 12.0 | Windows Server 2012/ Windows Server 2016 | FJSVibsjf | T014063XP-02 |
| Interstage Business Application Server Standard Edition | 12.0 | RHEL 6/ 7 | FJSVibsjf | T014062LP-02 |
| Interstage Business Application Server Enterprise Edition | 12.0 | RHEL 6/ 7 | FJSVibsjf | T014062LP-02 |
| Interstage Business Application Server Standard Edition | 12.0 | Solaris 10/ 11 | FJSVibsjf | T014064SP-02 |
| Interstage Business Application Server Enterprise Edition | 12.0 | Solaris 10/ 11 | FJSVibsjf | T014064SP-02 |
参考: 該当製品の確認方法
製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。
3-3. 回避方法
ありません。
4. 関連情報
- CVE-2018-1199
Spring Securityに認証回避の脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1199
5. 改版履歴
- 2018年4月17日 新規掲載
