CiscoWorks2000 LMS 2.2/RWAN 1.3: JRE脆弱性の問題 (2005年11月9日)

本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、JPCERTコーディネーションセンター（JPCERT/CC)に報告されたものもしくは、当社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、当社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。

概要

詳細

1.背景

CiscoWorks2000 LAN Management 2.2およびCiscoWorks2000 RWAN Management Solution 1.3では、Common Services 2.2というコンポーネントにJava Runtime Environment 1.4.2_07以前のJava Runtime Environment を同梱しているため、信頼できないアプレットに付与された以上の権限を与える可能性があるという問題です。
CiscoWorksサーバ上のWebブラウザでCiscoWorksを使用する運用形態の場合に、本脆弱性によりサーバシステムに影響を与える可能性があります。

なお、Java Runtime Environmentの脆弱性については、今年6月にSun社から出ている下記の内容になります。
Sun Alert ID: 230791 (旧ID: 101749)

また、富士通でも本脆弱性について以下のサイトで情報を公開しています。
http://www.fujitsu.com/jp/products/software/resources/condition/security/products-others/unix/2005.html
2005年6月16日「Java Runtime Environment(JRE) に関するセキュリティ脆弱性問題: 230791 (旧ID: 101749)」が発行されました。

本件について、Cisco社からはパートナー各社を通してユーザにパッチを提供しています。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

CiscoWorks2000については以下のページを参照してください。
http://systemwalker.fujitsu.com/jp/ciscoworks/

2. 該当システムの範囲

3. 発見されている問題点

信頼できないアプレットに付与された以上の権限を与える可能性があります。

4. 一時的な回避方法

ありません。

5. パッチ情報

注1: 下記の部署よりセキュリティパッチを提供していますので、お問い合わせください。
  富士通株式会社 プラットフォーム技術開発本部
  自律システム基盤開発統括部
  担当 森田（E-mail:soft-nem@ml.css.fujitsu.com）

6. 改版履歴

• 2005年11月9日 新規掲載