Interstage Application Development Cycle Manager(ADM): strutsの脆弱性(CVE-2014-0094) (2014年5月27日)
1. 脆弱性の説明
Interstage Application Development Cycle Manager(ADM)のWebインターフェース機能が利用しているApache Strutsにおいて、 クラスローダーを外部から操作可能な脆弱性が確認されました。
この影響で、情報の窃取や特定ファイルの操作を許してしまう可能性があります。
Interstage Application Development Cycle Managerについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apdevcyclemgr/
富士通は、3. でセキュリティパッチおよび回避方法を提示していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
ADMのWebインターフェース機能はイントラネット内もしくは、運用環境によりセキュリティ侵害対策を構築したネットワーク上で使用されることを前提としています。
そのようなネットワーク環境上の悪意のある利用者から本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、Webインターフェース機能が利用できなくなる、あるいは、ADMのWebインターフェース機能が動作するサーバ上の任意のファイルが読み取られるなど、様々な被害を受ける可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST 2000シリーズ, PRIMEQUEST 1000シリーズ, PRIMERGY, GP5000, PRIMEPOWER, GP7000F, GP-S, 富士通 S Series, SPARC Enterprise
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Application Development Cycle Manager Standard Edition | 10.0.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.0.0A | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.1.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.1.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.1.1 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.1.1 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.2.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.2.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.2.0 | RHEL 5(x86)/ 6(x86) | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.0 | Solaris 9/ 10/ 11 | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.3.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.3.0 | RHEL 5(x86)/ 5(x64)/ 6(x86)/ 6(x64) | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.0 | RHEL 5(x86)/ 5(x64)/ 6(x86)/ 6(x64) | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.1 | Solaris 9/ 10/ 11 | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.3.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.3.1 | RHEL 5(x86)/ 5(x64)/ 6(x86)/ 6(x64) | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.1 | RHEL 5(x86)/ 5(x64)/ 6(x86)/ 6(x64) | FJSViasm | 未定 |
| Interstage Application Development Cycle Manager Enterprise Edition | 10.3.1A | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | 未定 |
| Interstage Application Development Cycle Manager Standard Edition | 10.3.1A | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | 未定 |
注意)修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。
参考: 該当製品の確認方法
Interstage Application Serverに配備されている、Webアプリケーションの確認方法は以下の通りです。
- Interstage管理コンソールにログインします。
- 左ペインから「ワークユニット」を選択。右ペインにワークユニット一覧が表示されます。
- ワークユニット一覧から、ADM用のワークユニット名のリンクをクリックします。
- ワークユニットの操作画面に切り替わるので、「アプリケーション状態/配備解除」タブをクリックします。
- 配備済みのモジュール一覧が表示されます。
以下のモジュールが、脆弱性に該当するモジュールです(Xはマイナーバージョン)。
・iscm10X.war (ADM V10.2の場合、iscm102.war)
・idms10X.war (ADM V10.2の場合、idms102.war)- 「iscm10X.war」が表示されている場合
問題を回避するため、「3-3. 回避方法」の対処が必要です。 - 「idms10X.war」が表示されている場合
配備を解除してください。
このアプリケーションはADMでは使用していないため、配備を解除してもお客様の運用への影響はありません。
- 「iscm10X.war」が表示されている場合
3-3. 回避方法
本脆弱性は、パッチの適用ができない間、以下の方法で影響を緩和できる場合があります。
【回避方法】
以下の方法でサーブレットフィルターをADMのWebアプリケーションに設定してください。
・サーブレットフィルターを実装して、以下のWebアプリケーションへ適用します。
- iscm10X.war
(XにはADMのマイナーバージョンが入ります)
iscm10X.war のみが対処の対象です。
このWebアプリケーションが配備されていない場合は、以下の作業を実施する必要はありません。
- 下記の例のようなJavaプログラムをコンパイルして、クラスファイルを作成します。
[プログラムの例(クラス名は任意)]
------
import java.io.IOException;
import java.util.Enumeration;
import java.util.regex.Pattern;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
public class StrutsClassFilter implements Filter {
public static Pattern EXCLUDE_PATTERN = Pattern.compile("(^|¥¥W)[cC]lass¥¥W");
public void destroy() {
}
public void doFilter(ServletRequest req, ServletResponse res, FilterChain filter)
throws IOException, ServletException {
Enumeration params = ((HttpServletRequest)req).getParameterNames();
while(params.hasMoreElements()){
String name = (String)params.nextElement();
if(EXCLUDE_PATTERN.matcher(name).find()){
throw new IllegalArgumentException(name);
}
}
filter.doFilter(req, res);
}
public void init(FilterConfig arg0) throws ServletException {
}
}
------
[コンパイルコマンドの実行例]
ADMサーバで以下のコマンドを実行します。
javac .¥StrutsClassFilter.java -classpath <Interstage Application Serverのインストールディレクトリ>¥F3Mjs5¥common¥lib¥servlet-api.jar - 以下のフォルダのバックアップをとります。
<Interstage ADMサーバのインストールフォルダ>¥webapps - 1で作成したclassファイルをwebアプリケーションにコピーし、web.xmlでフィルターとして指定します。
[classのコピー先]
<Interstage ADMサーバのインストールフォルダ>¥apps¥iscm10X¥WEB-INF¥classes
[編集するweb.xml]
<Interstage ADMサーバのインストールフォルダ>¥apps¥iscm10X¥WEB-INF¥web.xml
[web.xml記入例]
------
<web-app>
...
<filter>
<filter-name>classfilter</filter-name>
<filter-class>StrutsClassFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>classfilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
...
</web-app>
------ - カレントフォルダを<Interstage ADMサーバのインストールフォルダ>¥apps¥iscm10Xに移動して、以下のコマンドを実行し、warファイルを作成します。
jar cf ..¥iscm10X.war * - 4で作成したWARファイルをADM向けワークユニットに配備します。
配備の手順につきましては、ADM のインストールガイドの、「Webアプリケーションの配備」を参照ください。
4. 関連情報
- JVNDB-2014-001603
「Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性」
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html
5. 改版履歴
- 2014年5月27日 新規掲載
