INTERSTAGE Application Serverにおけるアプレットセキュリティの問題 (2002年7月5日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | INTERSTAGE Application Serverにおけるアプレットセキュリティの問題 |
| 製品提供元: | 富士通株式会社 |
| 該当製品: | INTERSTAGE Standard Edition V2.0L10 (Windows)
INTERSTAGE Enterprise Edition V2.0L10 (Windows) INTERSTAGE Standard Edition 2.1 (Solaris) INTERSTAGE Enterprise Edition 2.1 (Solaris) INTERSTAGE Standard Edition V2.0L20 (Windows) INTERSTAGE Enterprise Edition V2.0L20 (Windows) INTERSTAGE Standard Edition 2.1.1 (Solaris) INTERSTAGE Enterprise Edition 2.1.1 (Solaris) INTERSTAGE Application Server Standard Edition V3.0L10 (Windows) INTERSTAGE Application Server Enterprise Edition V3.0L10 (Windows) INTERSTAGE Application Server Standard Edition 3.0 (Solaris) INTERSTAGE Application Server Enterprise Edition 3.0 (Solaris) INTERSTAGE Application Server Standard Edition V3.0L20 (Windows) INTERSTAGE Application Server Enterprise Edition V3.0L20 (Windows) INTERSTAGE Application Server Standard Edition 3.1 (Solaris) INTERSTAGE Application Server Enterprise Edition 3.1 (Solaris) INTERSTAGE Application Server Standard Edition 3.0 (HP-UX) INTERSTAGE Application Server Standard Edition V4.0L10 (Windows) INTERSTAGE Application Server Enterprise Edition V4.0L10 (Windows) INTERSTAGE Application Server Standard Edition 4.0 (Solaris) INTERSTAGE Application Server Enterprise Edition 4.0 (Solaris) INTERSTAGE Application Server Standard Edition V4.0L20 (Windows) INTERSTAGE Application Server Enterprise Edition V4.0L20 (Windows) INTERSTAGE Application Server Standard Edition 4.1 (Solaris) INTERSTAGE Application Server Enterprise Edition 4.1 (Solaris) INTERSTAGE Application Server Standard Edition 4.1 (Linux) INTERSTAGE Application Server Enterprise Edition 4.1 (Linux) INTERSTAGE Application Server Standard Edition 4.1 (HP-UX) |
| 該当システム: | Windows 98, Me, XP, NT, 2000
Solaris 2.51, 2.6, 7, 8 |
| システムへの影響: | クライアントシステムのローカルファイル破壊/情報漏洩が発生する可能性が有ります。 |
| 一時的な回避方法: | 4.に示します。 |
| パッチ: | なし |
1. 背景
INTERSTAGE Application Server(以下、INTERSTAGE)において以下の問題があることが判明しました。
INTERSTAGEが提供するサービス(機能)を使用したJavaアプレットの使用において、マニュアル記載しているセキュリティ権限の設定内容に問題があります。
富士通は、この問題に対する情報を提供しておりますので、早急な対応をお願いします。
Interstage Application Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apserver/
2. 該当システムの範囲
| 該当コマンド/ファイル | 製品名 | 対象OS |
|---|---|---|
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Standard Edition V2.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Enterprise Edition V2.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Standard Edition 2.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Enterprise Edition 2.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Standard Edition V2.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Enterprise Edition V2.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Standard Edition 2.1.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Enterprise Edition 2.1.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition V3.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Enterprise Edition V3.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition 3.0
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Enterprise Edition 3.0
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition V3.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Enterprise Edition V3.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition 3.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Enterprise Edition 3.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition 3.0
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | HP-UX |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Standard Edition V4.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Enterprise Edition V4.0L10
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Standard Edition 4.0
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Enterprise Edition 4.0
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Standard Edition V4.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Enterprise Edition V4.0L20
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Windows |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Standard Edition 4.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Enterprise Edition 4.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Solaris |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Standard Edition 4.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Linux |
| ODjava2.jar
ODporb2_plugin.jar ODporbROI2_plugin.jar | INTERSTAGE Application Server Enterprise Edition 4.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | Linux |
| ODjava2.jar
ODporb2_plugin.jar | INTERSTAGE Application Server Standard Edition 4.1
(CORBAサービス,CORBAサービスクライアント、Portable-ORB) | HP-UX |
3. 発見されている問題点
以下の条件で以降に示す問題が発生する可能性があります。
1) INTERSTAGEのCORBAサービスクライアント機能、CORBAサービス機能、Portable-ORB機能をJDK/JRE1.2.x, JDK/JRE1.3.x上で使用する、かつ
2) 1)の機能を使用した悪意のあるJavaアプレットが作成される、または、作成ミス(障害)を含んだJavaアプレットが作成される、かつ、
3) 悪意のあるJavaアプレットにデジタル署名が実施される、かつ、
4) クライアントマシンにおいて、悪意のあるJavaアプレットのデジタル署名に対して、INTERSTAGEのマニュアルに従ったセキュリティ権限設定が行われる、かつ、
5) 悪意のあるJavaアプレットが公開されたWebサイトに4)の設定が行われたクライアントマシンからアクセスが行われた場合。
<発生する可能性のある問題>
- クライアントのファイル破壊が発生する可能性があります。
- クライアントのファイル内容が漏洩する可能性があります。
- クライアントのユーザ固有情報が漏洩する可能性があります。
- クライアントのネイティブライブラリ(ダイナミックリンクライブライリ)がJavaアプレットから使用される可能性があります。
4. 一時的な回避方法
<INTERSTAGE Standard/Enterprise Edition V2.0L10/2.1/V2.0L20/2.1.1>
[CORBAサービス/CORBAサービスクライアントを使用している場合]
Javaアプレット、及び、プレインストール型Javaライブラリに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE 分散アプリケーション作成ガイド (CORBAサービス編) 4.20.2 クライアント環境の設定 Javaライブラリに対する権限の設定 (1)プレインストール型Javaクライアントの場合 」の項番(手順)5で記載される表
V2.0L10使用時は「CORBAサービス」インストール時にインストールされる%OD_HOME%¥readme.txtの「9.5 Javaに関する注意事項」の13)の表 - 「INTERSTAGE 分散アプリケーション作成ガイド (CORBAサービス編) A.1.2 keytool/jarsigner/policytoolを使用したデジタル署名 表A.5 設定が必要となる権限」のプレインストール型Javaライブラリに該当する権限
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ランタイム権限 | RuntimePermission | loadLibrary.DLL名 (注1) | 設定不要 |
(注1) loadLibrary.DLL名
インストールしている機能によって以下のDLL(ダイナミックリンクライブラリ)名を指定します。
指定するDLL名に拡張子を指定する必要はありません。
| インストールしている機能 | 使用するJDK/JRE | 指定するDLL名 |
|---|---|---|
| CORBAサービスクライアント
(クライアント機能) | JDK/JRE1.2.x | ODjava2
ODjavas2 |
| CORBAサービス
(サーバ機能) | JDK/JRE1.2.x | ODjavas2 |
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- ログ情報を採取する場合
CORBAサービスの動作ログを採取する際は以下の権限も追加して設定する必要があります。
CORBAサービスの動作ログの詳細については、「INTERSTAGE オペレーションガイド 付録D(付録E,付録F) CORBAサービスの動作環境ファイル D.1(E.1,F.1) config」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.dir
java.class.path | read
read |
| ファイル権限 | FilePermission |  %OD_HOME%¥etc¥config | read,write
read |
注意) ログ採取後は追加した権限を削除するようにしてください。
%OD_HOME%はCORBAサービス、または、CORBAサービスクライアントのインストールフォルダを指定していください。
デフォルトでのインストールフォルダは「C:¥INTERSTAGE¥ODWIN」となります。
[Portable-ORBを使用している場合]
Javaアプレット、及び、Portable-ORBに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE 分散アプリケーション作成ガイド (CORBAサービス編)4.20.2 クライアント環境の設定 Javaライブラリに対する権限の設定(2) Portable-ORBの場合(Portable-ORBをダウンロードしない運用の場合)」の項番(手順)5で記載される表
V2.0L10使用時は「CORBAサービス」インストール時にインストールされる%OD_HOME%¥readme.txtの「9.5 Javaに関する注意事項」の15)の表 - 「INTERSTAGE 分散アプリケーション作成ガイド (CORBAサービス編)A.1.2 keytool/jarsigner/policytoolを使用したデジタル署名 表A.5 設定が必要となる権限」のPortable-ORBに該当する権限
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| 通信権限 | SocketPermission | 通信先サーバ名 (注1) | connect |
(注1) 通信サーバ名
通信を行うサーバマシンがJavaアプレットをダウンロードしたWWWサーバのみの場合は当権限の設定は不要となります。
JavaアプレットをダウンロードしたWWWサーバ以外のサーバマシンと通信する場合は通信先サーバ分の通信先サーバ名を設定してください。
通信先サーバとして、serverA.interstage.co.jpとserverB.interstage.co.jpが存在する場合、通信先サーバ名として、serverA.interstage.co.jpとserverB.interstage.co.jpの2組の通信権限を設定します。または、信頼できる範囲を確認した上で、ワイルドカード*を使用して*.interstage.co.jpとして1組の通信権限を設定することも可能です。
ワイルドカード*のみを指定することで不特定のサーバマシンとの通信が可能となりますが、セキュリティ上の安全を確保する為、ワイルドカード*のみの指定は使用しないようにしてください。
通信先サーバ名としては以下のホスト名を指定する必要があります。
- porbeditenvコマンドの「ホスト情報」で設定したホスト名
ホスト情報の詳細については、「INTERSTAGE リファレンスマニュアル 1.9.1 porbeditenv」を参照してください。 - 通信を行うサーバアプリケーションに該当するオブジェクトリファレンスに格納されるホスト名。
オブジェクトリファレンスに格納されるホスト名は、「ネーミングサービスの登録内容の表示」コマンドで「-l」オプション指定時に表示される「ホスト名」となります。
「ネーミングサービスの登録内容の表示」コマンドの詳細については、「INTERSTAGE リファレンスマニュアル 1.2.7(1.2.11) odlistns」を参照してください。
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- ログ情報を採取する場合
ログ情報を採取する際は以下の権限も追加して設定する必要があります。
ログ情報の詳細については、「INTERSTAGE リファレンスマニュアル 1.9.1 porbeditenv」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ファイル権限 | FilePermission | ログ採取ファイル (注2) | read,write,delete |
| ファイル権限 | FilePermission | ログ採取ファイル (注3) | read |
(注2) ログ採取ファイル
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名に「¥*」を付加したパスを指定します。「ログ格納ディレクトリ」に「c:¥log¥porb」と指定した場合、「c:¥log¥porb¥*」と指定します。
(注3) ログ採取フォルダ
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名を指定します。
注意) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリはログ採取前に作成しておく必要があります。
また、「ログ格納ディレクトリ」にはログ採取ファイル以外のユーザ資源等は格納しないようにしてください。
また、ログ採取後は追加した権限を削除するようにしてください。
- ユーザ情報獲得用のAPIを使用する場合
サーバアプリケーションにおいて、ユーザ情報獲得用のAPIを使用する場合は以下の権限も追加して設定する必要があります。
ユーザ情報獲得用のAPIの詳細については、「INTERSTAGE リファレンスマニュアル 3.12.6 TD_get_user_information/4.14.7 TD::get_user_information/6.14.10 TDGETUSERINFORMATION」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.name | read |
<INTERSTAGE Application Server Standard/Enterprise Edition V3.0L10/3.0/V3.0L20/3.1>
[CORBAサービス/CORBAサービスクライアントを使用している場合]
Javaアプレット、及び、プレインストール型Javaライブラリに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.2 keytool/jarsigner/policytoolを使用したデジタル署名 [表4.9 設定が必要となる権限]」のプレインストール型Javaライブラリに該当する権限
V3.0L20、3.1使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.3.3.3 policytoolコマンドの設定(補足) (4)権限の設定」で記載される表のプレインストール型Javaライブラリに該当する権限 - 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.20.2(4.19.2) クライアント環境の設定 Javaライブラリに対する権限の設定 (1) プレインストール型Javaクライアントの場合 」の項番(手順)5で記載される表
V3.0L20、3.1使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.3 Javaライブラリに対する権限の設定 (1)プレインストール型Javaクライアント」の項番(手順)5で記載される表
HP-UX版使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス) 4.19.1 クライアント環境の設定 Javaライブラリに対する権限の設定 (1) プレインストール型Javaクライアントの場合」の項番(手順)5で記載される表
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ランタイム権限 | RuntimePermission | loadLibrary.DLL名 (注1) | 設定不要 |
| プロパティ権限 | PropertyPermission | com.fujitsu.* | read |
(注1) loadLibrary.DLL名
インストールしている機能、および、使用するJDK/JREによって以下のDLL(ダイナミックリンクライブラリ)名を指定します。指定するDLL名に拡張子を指定する必要はありません。
| インストールしている機能 | 使用するJDK/JRE | 指定するDLL名 |
|---|---|---|
| CORBAサービスクライアント
(クライアント機能) | JDK/JRE1.2.x, 1.3.x | ODjava2 |
| CORBAサービス
(サーバ機能) | JDK/JRE1.2.x, 1.3.x | ODjavas2 |
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- ログ情報を採取する場合
CORBAサービスの動作ログを採取する際は以下の権限も追加して設定する必要があります。
CORBAサービスの動作ログの詳細については、「INTERSTAGE Application Server リファレンスマニュアル 2.3.1 config」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.dir
java.class.path | read
read |
| ファイル権限 | FilePermission | %OD_HOME%¥etc¥config | read,write
read |
注意) ログ採取後は追加した権限を削除するようにしてください。
%OD_HOME%はCORBAサービス、または、CORBAサービスクライアントのインストールフォルダを指定していください。デフォルトでのインストールフォルダは「C:¥INTERSTAGE¥ODWIN」となります。
[Portable-ORBを使用している場合]
Javaアプレット、及び、Portable-ORBに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.2 keytool/jarsigner/policytoolを使用したデジタル署名[表4.9 設定が必要となる権限]」のPortable-ORBに該当する権限
V3.0L20、3.1使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.3.3.3 policytoolコマンドの設定(補足) (4)権限の設定」で記載される表のPortable-ORBに該当する権限 - 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.20.2(4.19.2) クライアント環境の設定 Javaライブラリに対する権限の設定 (2) Portable-ORBの場合(Portable-ORBをダウンロードしない運用の場合) 」の項番 (手順)5で記載される表
V3.0L20、3.1使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.3 Javaライブラリに対する権限の設定 (2) Portable-ORB(Portable-ORBをダウンロードしない運用の場合)」の項番(手順)5で記載される表
HP-UX版使用は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス) 4.19.1 クライアント環境の設定 Javaライブラリに対する権限の設定 (2) Portable-ORBの場合(Portable-ORBをダウンロードしない運用の場合)」の項番 (手順)5で記載される表
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| 通信権限 | SocketPermission | 通信先サーバ名 (注1) | connect |
(注1) 通信サーバ名
通信を行うサーバマシンがJavaアプレットをダウンロードしたWWWサーバのみの場合は当権限の設定は不要となります。
JavaアプレットをダウンロードしたWWWサーバ以外のサーバマシンと通信する場合は通信先サーバ分の通信先サーバ名を設定してください。
通信先サーバとして、serverA.interstage.co.jpとserverB.interstage.co.jpが存在する場合、通信先サーバ名として、serverA.interstage.co.jpとserverB.interstage.co.jpの2組の通信権限を設定します。または、信頼できる範囲を確認した上で、ワイルドカード*を使用して*.interstage.co.jpとして1組の通信権限を設定することも可能です。
ワイルドカード*のみを指定することで不特定のサーバマシンとの通信が可能となりますが、セキュリティ上の安全を確保する為、ワイルドカード*のみの指定は使用しないようにしてください。
通信先サーバ名としては以下のホスト名を指定する必要があります。
- porbeditenvコマンドの「ホスト情報」で設定したホスト名
ホスト情報の詳細については、「INTERSTAGE Application Server リファレンスマニュアル 1.10.1(1.7.1) porbeditenv」を参照してください。 - 通信を行うサーバアプリケーションに該当するオブジェクトリファレンスに格納されるホスト名。
オブジェクトリファレンスに格納されるホスト名は、「ネーミングサービスの登録内容の表示」コマンドで「-l」オプション指定時に表示される「ホスト名」となります。「ネーミングサービスの登録内容の表示」コマンドの詳細については、「INTERSTAGEApplication Server リファレンスマニュアル 1.4.16(1.4.17, 1.3.16) odlistns」を参照してください。 - URLスキーマに指定したホスト名。URLスキーマの詳細については、「INTERSTAGE Application Server 分散アプリケーション作成ガイド(CORBAサービス編)第8章 ネーミングサービスのプログラミング/第14章 ネーミングサービスのイニシャルリファレンスの獲得」を参照してください。
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- EJBアプリケーションを使用する場合
EJBアプリケーションを使用する際は以下の権限も追加して設定する必要があります。なお、EJBアプリケーションはV3.0L20、3.1で使用可能です。
EJBアプリケーションの詳細については「INTERSTAGE Application Server 分散アプリケーション作成ガイド(EJBサービス編)」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | com.fujitsu.*
java.home javax.rmi.CORBA.* java.class.path | read
read read read |
| ファイル権限 | FilePermission |  | read |
- ログ情報を採取する場合
ログ情報を採取する際は以下の権限も追加して設定する必要があります。
ログ情報の詳細については、「INTERSTAGE Application Server リファレンスマニュアル 1.10.1(1.7.1) porbeditenv」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ファイル権限 | FilePermission | ログ採取ファイル (注2) | read,write,delete |
| ファイル権限 | FilePermission | ログ採取ファイル (注3) | read |
(注2) ログ採取ファイル
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名に「¥*」を付加したパスを指定します。「ログ格納ディレクトリ」に「c:¥log¥porb」と指定した場合、「c:¥log¥porb¥*」と指定します。
(注3) ログ採取フォルダ
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名を指定します。
注意) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリはログ採取前に作成しておく必要があります。
また、「ログ格納ディレクトリ」にはログ採取ファイル以外のユーザ資源等は格納しないようにしてください。
また、ログ採取後は追加した権限を削除するようにしてください。
- ユーザ情報獲得用のAPIを使用する場合
サーバアプリケーションにおいて、ユーザ情報獲得用のAPIを使用する場合は以下の権限も追加して設定する必要があります。
ユーザ情報獲得用のAPIの詳細については、「INTERSTAGE Application Server リファレンスマニュアル 3.12.6 TD_get_user_information/4.14.7(4.15.7) TD::get_user_information/6.14.10 TDGETUSERINFORMATION」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.name | read |
<INTERSTAGE Application Server Standard/Enterprise Edition V4.0L10/4.0/V4.0L20/4.1>
[CORBAサービス/CORBAサービスクライアントを使用している場合]
Javaアプレット、及び、プレインストール型Javaライブラリに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.3 Javaライブラリに対する権限の設定 」の項番(手順)5で記載される表
Linux版、及び、HP-UX版使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.1.3 Javaライブラリに対する権限の設定 」の項番(手順)5で記載される表 - 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.3.3.3 policytoolコマンドの設定(補足) (4)権限の設定」で記載される表のプレインストール型Javaライブラリに該当する権限
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ランタイム権限 | RuntimePermission | loadLibrary.DLL名 (注1) | 設定不要 |
| プロパティ権限 | PropertyPermission | com.fujitsu.* | read |
(注1) loadLibrary.DLL名
インストールしている機能、および、使用するJDK/JREによって以下のDLL(ダイナミックリンクライブラリ)名を指定します。指定するDLL名に拡張子を指定する必要はありません。
| インストールしている機能 | 使用するJDK/JRE | 指定するDLL名 |
|---|---|---|
| CORBAサービスクライアント
(クライアント機能) | JDK/JRE1.2.x, 1.3.x | ODjava2 |
| CORBAサービス
(サーバ機能) | JDK/JRE1.2.x, 1.3.x | ODjavas2 |
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- ログ情報を採取する場合
CORBAサービスの内部ログを採取する際は以下の権限も追加して設定する必要があります。
CORBAサービスの内部ログの詳細については、「INTERSTAGE Application Server リファレンスマニュアル(定義編) 第3章 CORBAサービスの動作環境ファイル 3.1 config 」の「保守機能に関する動作環境」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.dir
java.class.path | read
read |
| ファイル権限 | FilePermission | %OD_HOME%¥etc¥config | read,write
read |
注意) ログ採取後は追加した権限を削除するようにしてください。
%OD_HOME%はCORBAサービス、または、CORBAサービスクライアントのインストールフォルダを指定していください。デフォルトでのインストールフォルダは「C:¥INTERSTAGE¥ODWIN」となります。
[Portable-ORBを使用している場合]
Javaアプレット、及び、Portable-ORBに対して現在設定している権限設定を削除した後、「1.設定内容」、「2.特定機能を使用する場合の設定内容」に示す権限設定に変更してください。
なお、本記載は、以下のマニュアルに差し替えてお読みください。
- 「INTERSTAGE Application Server 分散アプリケーション作成ガイド(CORBAサービス編) 4.2.3.3 Javaライブラリに対する権限の設定」の項番(手順)5で記載される表
Linux版、及び、HP-UX版使用時は、「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.2.2.3 Javaライブラリに対する権限の設定 」の項番(手順)5で記載される表 - 「INTERSTAGE Application Server 分散アプリケーション作成ガイド (CORBAサービス編) 4.3.3.3 policytoolコマンドの設定(補足) (4)権限の設定」で記載される表のPortable-ORBに該当する権限
1.設定内容
以下に示す権限設定を実施してください。通常の運用では以下に示す権限以外を設定しないでください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| 通信権限 | SocketPermission | 通信先サーバ名 (注1) | connect |
(注1) 通信サーバ名
通信を行うサーバマシンがJavaアプレットをダウンロードしたWWWサーバのみの場合は当権限の設定は不要となります。
JavaアプレットをダウンロードしたWWWサーバ以外のサーバマシンと通信する場合は通信先サーバ分の通信先サーバ名を設定してください。
通信先サーバとして、serverA.interstage.co.jpとserverB.interstage.co.jpが存在する場合、通信先サーバ名として、serverA.interstage.co.jpとserverB.interstage.co.jpの2組の通信権限を設定します。または、信頼できる範囲を確認した上で、ワイルドカード*を使用して*.interstage.co.jpとして1組の通信権限を設定することも可能です。
ワイルドカード*のみを指定することで不特定のサーバマシンとの通信が可能となりますが、セキュリティ上の安全を確保する為、ワイルドカード*のみの指定は使用しないようにしてください。
通信先サーバ名としては以下のホスト名を指定する必要があります。
- porbeditenvコマンドの「ホスト情報」で設定したホスト名
ホスト情報の詳細については、「INTERSTAGE Application Server リファレンスマニュアル(コマンド編) 10.1(7.1,9.1,11.1) porbeditenv」を参照してください。 - 通信を行うサーバアプリケーションに該当するオブジェクトリファレンスに格納されるホスト名。
オブジェクトリファレンスに格納されるホスト名は、「ネーミングサービスの登録内容の表示」コマンドで「-l」オプション指定時に表示される「オブジェクトのホスト名」となります。「ネーミングサービスの登録内容の表示」コマンドの詳細については、「INTERSTAGE Application Server リファレンスマニュアル(コマンド編)4.14(3,145.15) odlistns」を参照してください。 - URLスキーマに指定したホスト名。URLスキーマの詳細については、「INTERSTAGE Application Server 分散アプリケーション作成ガイド(CORBAサービス編)第8章 ネーミングサービスのプログラミング/第14(13)章 ネーミングサービスのイニシャルリファレンスの獲得」を参照してください。
2.特定機能を使用する場合の設定内容
特定機能使用時は「1.設定内容」での設定内容に追加して、使用する特定機能毎に以降に示す権限を追加して設定する必要があります。
- EJBアプリケーションを使用する場合
EJBアプリケーションを使用する際は以下の権限も追加して設定する必要があります。
EJBアプリケーションの詳細については「INTERSTAGE Application Server 分散アプリケーション作成ガイド(EJBサービス編)」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | com.fujitsu.*
java.class.path | read
read |
- ログ情報を採取する場合
ログ情報を採取する際は以下の権限も追加して設定する必要があります。
ログ情報の詳細については、「INTERSTAGE Application Server リファレンスマニュアル(コマンド編) 10.1(7.1,9.1,11.1) porbeditenv」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| ファイル権限 | FilePermission | ログ採取ファイル (注2) | read,write,delete |
| ファイル権限 | FilePermission | ログ採取ファイル (注3) | read |
(注2) ログ採取ファイル
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名に「¥*」を付加したパスを指定します。「ログ格納ディレクトリ」に「c:¥log¥porb」と指定した場合、「c:¥log¥porb¥*」と指定します。
(注3) ログ採取フォルダ
porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリ名を指定します。
注意) porbeditenvコマンドの「ログ格納ディレクトリ」で指定したディレクトリはログ採取前に作成しておく必要があります。
また、「ログ格納ディレクトリ」にはログ採取ファイル以外のユーザ資源等は格納しないようにしてください。
また、ログ採取後は追加した権限を削除するようにしてください。
- ユーザ情報獲得用のAPIを使用する場合
サーバアプリケーションにおいて、ユーザ情報獲得用のAPIを使用する場合は以下の権限も追加して設定する必要があります。
ユーザ情報獲得用のAPIの詳細については、「INTERSTAGE Application Server リファレンスマニュアル(API編)1.12.6 TD_get_user_information/2.15.7 TD::get_user_information/4.14.10(4.12.10) TDGETUSERINFORMATION」を参照してください。
| 権限種別 | 設定を行う権限 | ||
|---|---|---|---|
| Permission | Target Name | Actions | |
| プロパティ権限 | PropertyPermission | user.name | read |
5. パッチ情報
なし
6. 改版履歴
- 2002年7月5日 Portable-ORBの使用において、EJB機能を使用する際の権限を追加
- 2002年5月24日 新規掲載
