Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)
1. 脆弱性の説明
Symfoware Server(Openインタフェース)のWebAdminで基盤として利用しているStrutsに おいて、Javaクラスローダーを外部から操作可能な脆弱性が確認されました。
該当製品を利用しているだけでは、脆弱性の影響を受けることはありません。
WebAdminを利用している場合のみ影響を受ける可能性があります。
本脆弱性の問題は、CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116に該当します。
Symfoware Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/symfowareserver/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
この脆弱性により、インターネット経由で本脆弱性の悪用を目的とした特別なリクエストを 受け取った場合、WebAdminによる操作が正常に行えなくなる、あるいは、サーバ上の任意のファイル を読み取られるなど様々な被害を受ける可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通 S Series, SPARC Enterprise, SPARC M10
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/V12.0.0A | Solaris 10/ 11 | FJSVsymdb12006 | T009317SP-01 |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | Solaris 10/ 11 | FJSVsymdb12006 | T009317SP-01 |
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/V12.0.0A | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | T009320WP-01[※1]
T009323XP-01[※2] |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | T009320WP-01[※1]
T009323XP-01[※2] |
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0 | RHEL5(x86) | FJSVsymdb12003 | T009328LP-01 |
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0 | RHEL6(x86) | FJSVsymdb12003 | T009329LP-01 |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL5(x86) | FJSVsymdb12003 | T009328LP-01 |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL6(x86) | FJSVsymdb12003 | T009329LP-01 |
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL5(Intel64) | FJSVsymdb12006 | T009334LP-01 |
| Symfoware Server Lite Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL6(Intel64) | FJSVsymdb12006 | T009335LP-01 |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL5(Intel64) | FJSVsymdb12006 | T009334LP-01 |
| Symfoware Server Standard Edition(Openインタフェース) | V12.0.0/V12.0.0A | RHEL6(Intel64) | FJSVsymdb12006 | T009335LP-01 |
- [※1] 32bitモジュールに対するパッチです。
- [※2] 64bitモジュールに対するパッチです。
- 修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。
参考: 該当製品の確認方法
製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。
3-3. 回避方法
回避方法はありません。
4. 関連情報
- IPA
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html - JVNDB-2014-001603
Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html
※本情報には、Struts1に関しても記載されていますが、Symfoware Server Lite Edition および Symfoware Server Standard Editionには影響ありません。
5. 改版履歴
- 2014年6月2日 新規掲載
