INTERSTAGE Application ServerのJSPソースファイルが漏洩する問題について (2002年6月14日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | JSPソースファイルが漏洩する問題について |
| 製品提供元: | 富士通株式会社 |
| 該当製品: | INTERSTAGE Application Server Enterprise Edition V3.0L10 (Windows)
INTERSTAGE Application Server Enterprise Edition V3.0L20 (Windows) INTERSTAGE Application Server Enterprise Edition V4.0L10 (Windows) INTERSTAGE Application Server Standard Edition V3.0L10 (Windows) INTERSTAGE Application Server Standard Edition V3.0L20 (Windows) INTERSTAGE Application Server Standard Edition V4.0L10 (Windows) INTERSTAGE Application Server Web Edition V3.0L10 (Windows) INTERSTAGE Application Server Web Edition V3.0L20 (Windows) INTERSTAGE Application Server Web-J Edition V3.0L20 (Windows) INTERSTAGE Application Server Web-J Edition V4.0L10 (Windows) INTERSTAGE Application Server Enterprise Edition 3.0 (Solaris) INTERSTAGE Application Server Enterprise Edition 3.1 (Solaris) INTERSTAGE Application Server Enterprise Edition 4.0 (Solaris) INTERSTAGE Application Server Standard Edition 3.0 (Solaris) INTERSTAGE Application Server Standard Edition 3.1 (Solaris) INTERSTAGE Application Server Standard Edition 4.0 (Solaris) INTERSTAGE Application Server Web-J Edition 3.1 (Solaris) INTERSTAGE Application Server Web-J Edition 4.0 (Solaris) INTERSTAGE Application Server Standard Edition 3.0 (HP-UX) INTERSTAGE Application Server Web-J Edition 3.1 (Linux) INTERSTAGE Application Server Web-J Edition 3.1.1 (Linux) INTERSTAGE Application Server Web-J Edition 4.0 (Linux) |
| 該当システム: | Windows: Windows NT/ 2000
Solaris: Solaris 2.6 7 8 HP-UX: HP-UX 11 Linux: Turbolinux 6.1/6.5 |
| システムへの影響: | システムへの影響は特になし |
| 一時的な回避方法: | 4.に示します。 |
| パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
INTERSTAGE Servletサービスに、JSPのソースコードが漏洩する危険があることがわかりました。
富士通は、INTERSTAGEに対して、Servletサービスの修正モジュールを適用していただくよう広報いたします。
Interstage Application Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apserver/
2. 該当システムの範囲
製品(Windows、Solaris,HP-UX、Linux)内の下記サービス(パッケージ)にセキュリティ問題を含んでいます。
・Servletサービス(Servlet/JSP機能)
3. 発見されている問題点
WebブラウザよりJSPの拡張子に対して、大文字/小文字の組み合わせを指定するとJSPのソースコードが漏洩する危険があることが確認されました。
JSPの実行結果ではなく、JSPのソースコードそのものがWWWブラウザに表示される危険があることが確認されました。そのため、JSPのソースコードに記述された重要な情報が漏洩する可能性あります。
4. 一時的な回避方法
以下の処置により、この問題を回避できます。
・Servletサービスの以下のシステムファイルを修正します。
Windows:"INTERSTAGEのインストールフォルダ"¥F3FMjs2¥conf¥web.xml
UNIX系 :/opt/FJSVjs2/conf/web.xml
| <servlet-mapping>
<servlet-name> jsp </servlet-name> <url-pattern> *.JSP </url-pattern> </servlet-mapping> |
| <servlet-mapping>
<servlet-name> jsp </servlet-name> <url-pattern> *.Jsp </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.Jsp </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.jSp </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.jsP </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.JSp </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.JsP </url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name> jsp </servlet-name> <url-pattern> *.jSP </url-pattern> </servlet-mapping> |
定義後、Servletサービスを再起動してください。
上記処置により、JSPの処理結果または404 Not Found(ページが見つからない)のメッセージがブラウザに表示されるようになります。
確認方法:WebブラウザよりJSPの拡張子に対して、大文字/小文字の全ての組み合わせを指定し、JSPのソースコードが表示されないことを確認してください。
5. パッチ情報
E.E: Enterprise Edition S.E: Standard Edition Web: Web Edition Web-J: Web-J Editionを表します。
下記製品のみのパッチ提供になります。
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| INTERSTAGE Application Server V4.0L10 E.E | Windows NT 2000 | Jservlet | TP23908 |
| INTERSTAGE Application Server V4.0L10 S.E | Windows NT 2000 | Jservlet | |
| INTERSTAGE Application Server V4.0L10 Web-J | Windows NT 2000 | Jservlet | |
| INTERSTAGE Application Server V3.0L20 E.E | Windows NT 2000 | Jservlet | TP13908 |
| INTERSTAGE Application Server V3.0L20 S.E | Windows NT 2000 | Jservlet | |
| INTERSTAGE Application Server V3.0L20 Web | Windows NT 2000 | Jservlet | |
| INTERSTAGE Application Server V3.0L20 Web-J | Windows NT 2000 | Jservlet | |
| INTERSTAGE Application Server V3.0L10 E.E | Windows NT | Jservlet | TP03908 |
| INTERSTAGE Application Server V3.0L10 S.E | Windows NT | Jservlet | |
| INTERSTAGE Application Server V3.0L10 Web | Windows NT | Jservlet | |
| INTERSTAGE Application Server 4.0 E.E | Solaris | Jservlet | 911367-02 |
| INTERSTAGE Application Server 4.0 S.E | Solaris | Jservlet | 911368-02 |
| INTERSTAGE Application Server 4.0 Web-J | Solaris | Jservlet | 911562-01 |
| INTERSTAGE Application Server 3.1 E.E | Solaris | Jservlet | 911111-08 |
| INTERSTAGE Application Server 3.1 S.E | Solaris | Jservlet | 911112-08 |
| INTERSTAGE Application Server 3.1 Web-J | Solaris | Jservlet | 911120-08 |
| INTERSTAGE Application Server 3.0 E.E | Solaris | Jservlet | 910679-10 |
| INTERSTAGE Application Server 3.0 S.E | Solaris | Jservlet | 910675-10 |
お手数ですが、本修正の入手方法など詳細に関しましては、 当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2002年6月14日 新規掲載
