INTERSTAGE APWORKSおよびINTERSTAGE Application Serverにおける、Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性) (2003年10月10日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性) |
製品提供元: | 富士通株式会社 |
該当製品: | 2.該当システムの範囲を参照願います。 |
該当システム: | PRIMERGY, GP5000, PC/AT互換機, GP7000F, PRIMEPOWER, GP-S |
システムへの影響: | Java実行システムでの任意のコードの実行、サービスの異常、情報漏洩が考えられる。 |
一時的な回避方法: | 4.に示します。 |
パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
CERT(R) Advisory CA-2002-07 に基づく障害です。http://www.cert.org/advisories/CA-2002-07.html
JavaVMのデータ圧縮・復元ライブラリ(zlib)にセキュリティホールが見つかっています。
通常のJavaプログラムでは、このセキュリティホールを利用することはありませんが、不正に圧縮コードを改変した悪意のあるプログラムを利用した場合は、このセキュリティホールを利用して第三者がそのコードをユーザのコードとして実行させ、結果としてサービスの異常や、情報の漏洩などの影響を与える可能性があります。
発生条件は次のとおりです。
1)以下のJDK/JREを使用している。
JDK/JRE 1.1~1.1.8_09
JDK/JRE 1.2.2~1.2.2_011(注)
JDK/JRE 1.3.0~1.3.1_03(注)
JDK/JRE 1.4.0(注)
(注)富士通提供のJDK/JRE 1.2.2_011、1.3.1_03及び1.4.0では修正済み。
かつ、
2)以下の(2.1)または(2.2)のいずれか一方の条件を満たす。
(2.1)実行するアプリがJRE以外の*.zipや*.jarなどの圧縮形式のクラスライブラリを使用している。
(2.2)実行するアプリ内でjava.util.zipパッケージでデータ復元機能を実装し、任意の圧縮ファイルの復元を行っている。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
Interstage Application Serverについては以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 該当システムの範囲
該当コマンド/ファイル | 製品名 | 対象OS |
---|---|---|
java,jre | APWORKS Enterprise V1.0L10, V1.0L10A, V2.0L10, V2.0L20 | Windows |
java,jre | APWORKS Professional V1.0L10, V1.0L10A, V2.0L10, V2.0L20 | Windows |
java,jre | APWORKS クライアント運用パッケージ V1.0L10, V1.0L10A, V2.0L10, V2.0L20, V3.0L10, V3.0L20, V4.0L10, V4.0L20 | Windows |
java,jre | APWORKS サーバ運用パッケージ V1.0L10, V1.0L10A, V2.0L10, V2.0L20 | Windows |
java,jre | INTERSTAGE APWORKS Enterprise Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20 | Windows |
java,jre | INTERSTAGE APWORKS Professional Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20 | Windows |
java,jre | INTERSTAGE APWORKS Web Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20 | Windows |
java,jre | Interstage Apworks Enterprise Edition V5.0L10 | Windows |
java,jre | Interstage Apworks Standard Edition V5.0L10 | Windows |
java,jre | Interstage Apworks クライアント運用パッケージ V5.0L10 | Windows |
java,jre | INTERSTAGE Application Server Web-J Edition V3.0L20, V4.0L10, V4.0L20 | Windows |
java,jre | INTERSTAGE Application Server Web Edition V3.0L10, V3.0L20 | Windows |
java,jre | INTERSTAGE Application Server Standard Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20, V5.0L10, V5.0L10A, V5.0L10B | Windows |
java,jre | INTERSTAGE Application Server Enterprise Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20, V5.0L10, V5.0L10A, V5.0L10B | Windows |
java,jre | APWORKS サーバ運用パッケージ 2.0 | Solaris OE |
java,jre | INTERSTAGE Application Server Standard Edition 3.0, 3.0.1, 3.1, 4.0, 4.1, 5.0, 5.0.1 | Solaris OE |
java,jre | INTERSTAGE Application Server Enterprise Edition 3.0, 3.0.1, 3.1, 4.0, 4.1, 5.0, 5.0.1 | Solaris OE |
java,jre | INTERSTAGE Application Server Web-J Edition 3.1, 4.0, 4.1 | Solaris OE |
java,jre | INTERSTAGE Application Server Web-J Edition 3.1, 3.1.1, 4.0, 4.1 | Linux |
java,jre | INTERSTAGE Application Server Standard Edition 4.1 | Linux |
java,jre | INTERSTAGE Application Server Enterprise Edition 4.1 | Linux |
3. 発見されている問題点
悪意のあるJavaプログラムにより任意のコードの実行、サービスの異常、または、情報漏洩が行われる場合があります。
4. 一時的な回避方法
ありません。
信頼できないWebサイトのアクセス、または、信頼できないプログラムの実行をしないようにしてください。
5. パッチ情報
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
APWORKS Enterprise V1.0L10 | Windows | - | JDK/JRE 1.1.3の場合
TP04687_113 JDK/JRE 1.1.6の場合 TP04687_116 |
APWORKS Professional V1.0L10 | Windows | - | |
APWORKS クライアント運用パッケージ V1.0L10 | Windows | - | |
APWORKS サーバ運用パッケージ V1.0L10 | Windows | - | |
APWORKS Enterprise V1.0L10A | Windows | - | |
APWORKS Professional V1.0L10A | Windows | - | |
APWORKS クライアント運用パッケージ V1.0L10A | Windows | - | |
APWORKS サーバ運用パッケージ V1.0L10A | Windows | - | |
APWORKS Enterprise V2.0L10 | Windows | - | JDK/JRE 1.1.8の場合
TP14687_118 JDK/JRE 1.2.2の場合 TP14687_122 |
APWORKS Professional V2.0L10 | Windows | - | |
APWORKS クライアント運用パッケージ V2.0L10 | Windows | - | |
APWORKS サーバ運用パッケージ V2.0L10 | Windows | - | |
APWORKS Enterprise V2.0L20 | Windows | - | JDK/JRE 1.1.8の場合
TP24687_118 JDK/JRE 1.2.2_001の場合 TP24687_122_001 |
APWORKS Professional V2.0L20 | Windows | - | |
APWORKS クライアント運用パッケージ V2.0L20 | Windows | - | |
APWORKS サーバ運用パッケージ V2.0L20 | Windows | - | |
INTERSTAGE APWORKS Enterprise Edition V3.0L10 | Windows | - | JDK/JRE 1.1.8の場合
TP34687_118 JDK/JRE 1.2.2_001の場合 TP34687_122_001 JDK/JRE 1.3.0の場合 TP34687_130 |
INTERSTAGE APWORKS Professional Edition V3.0L10 | Windows | - | |
INTERSTAGE APWORKS Web Edition V3.0L10 | Windows | - | |
APWORKS クライアント運用パッケージ V3.0L10 | Windows | - | |
INTERSTAGE APWORKS Enterprise Edition V3.0L20 | Windows | - | JDK/JRE 1.1.8_005の場合
TP44687_118_005 JDK/JRE 1.2.2_006の場合 TP44687_122_006 JDK/JRE 1.3.0の場合 TP44687_130 |
INTERSTAGE APWORKS Professional Edition V3.0L20 | Windows | - | |
INTERSTAGE APWORKS Web Edition V3.0L20 | Windows | - | |
APWORKS クライアント運用パッケージ V3.0L20 | Windows | - | |
INTERSTAGE APWORKS Enterprise Edition V4.0L10 | Windows | - | JDK/JRE 1.1.8_007の場合
TP54687_118_007 JDK/JRE 1.2.2_008の場合 TP54687_122_008 JDK/JRE 1.3.1の場合 TP54687_131 |
INTERSTAGE APWORKS Professional Edition V4.0L10 | Windows | - | |
INTERSTAGE APWORKS Web Edition V4.0L10 | Windows | - | |
APWORKS クライアント運用パッケージ V4.0L10 | Windows | - | |
INTERSTAGE APWORKS Enterprise Edition V4.0L20 | Windows | - | JDK/JRE 1.1.8_008の場合
TP64687_118_008 JDK/JRE 1.2.2_010の場合 TP64687_122_010 JDK/JRE 1.3.1_01aの場合 TP64687_131_01a |
INTERSTAGE APWORKS Professional Edition V4.0L20 | Windows | - | |
INTERSTAGE APWORKS Web Edition V4.0L20 | Windows | - | |
APWORKS クライアント運用パッケージ V4.0L20 | Windows | - | |
Interstage Apworks Enterprise Edition V5.0L10 | Windows | - | JDK/JRE 1.1.8_009の場合
TP74687_118_009 |
Interstage Apworks Standard Edition V5.0L10 | Windows | - | |
Interstage Apworks クライアント運用パッケージ V5.0L10 | Windows | - | |
INTERSTAGE Application Server Web Edition V3.0L10 | Windows | - | JDK/JRE 1.1.8の場合
TP04872_118 JDK/JRE 1.2.2_001の場合 TP04872_122_001 JDK/JRE 1.3.0の場合 TP04872_130 |
INTERSTAGE Application Server Standard Edition V3.0L10 | Windows | - | |
INTERSTAGE Application Server Enterprise Edition V3.0L10 | Windows | - | |
INTERSTAGE Application Server Web-J Edition V3.0L20 | Windows | - | JDK/JRE 1.1.8_005の場合
TP14872_118_005 JDK/JRE 1.2.2_006の場合 TP14872_122_006 JDK/JRE 1.3.0の場合 TP14872_130 |
INTERSTAGE Application Server Web Edition V3.0L20 | Windows | - | |
INTERSTAGE Application Server Standard Edition V3.0L20 | Windows | - | |
INTERSTAGE Application Server Enterprise Edition V3.0L20 | Windows | - | |
INTERSTAGE Application Server Web-J Edition V4.0L10 | Windows | - | JDK/JRE 1.1.8_007の場合
TP24872_118_007 JDK/JRE 1.2.2_008の場合 TP24872_122_008 JDK/JRE 1.3.1の場合 TP24872_131 |
INTERSTAGE Application Server Standard Edition V4.0L10 | Windows | - | |
INTERSTAGE Application Server Enterprise Edition V4.0L10 | Windows | - | |
INTERSTAGE Application Server Web-J Edition V4.0L20 | Windows | - | JDK/JRE 1.1.8_008の場合
TP34872_118_008 JDK/JRE 1.2.2_010の場合 TP34872_122_010 JDK/JRE 1.3.1_01aの場合 TP34872_131_01a |
INTERSTAGE Application Server Standard Edition V4.0L20 | Windows | - | |
INTERSTAGE Application Server Enterprise Edition V4.0L20 | Windows | - | |
Interstage Application Server Standard Edition V5.0L10 | Windows | - | JDK/JRE 1.1.8_009の場合
TP44872_118_009 |
Interstage Application Server Enterprise Edition V5.0L10 | Windows | - | |
Interstage Application Server Standard Edition V5.0L10A | Windows | - | |
Interstage Application Server Enterprise Edition V5.0L10A | Windows | - | |
Interstage Application Server Standard Edition V5.0L10B | Windows | - | |
Interstage Application Server Enterprise Edition V5.0L10B | Windows | - | |
APWORKS サーバ運用パッケージ 2.0 | Solaris OE | FJSVawjbk | 912320-01 |
INTERSTAGE Application Server Standard Edition 3.0 | Solaris OE | FJSVawjbk | 912321-02 |
INTERSTAGE Application Server Enterprise Edition 3.0 | Solaris OE | FJSVawjbk | 912321-02 |
INTERSTAGE Application Server Standard Edition 3.0.1 | Solaris OE | FJSVawjbk | 912398-02 |
INTERSTAGE Application Server Enterprise Edition 3.0.1 | Solaris OE | FJSVawjbk | 912398-02 |
INTERSTAGE Application Server Web-J Edition 3.1 | Solaris OE | FJSVawjbk | 912399-02 |
INTERSTAGE Application Server Standard Edition 3.1 | Solaris OE | FJSVawjbk | 912399-02 |
INTERSTAGE Application Server Enterprise Edition 3.1 | Solaris OE | FJSVawjbk | 912399-02 |
INTERSTAGE Application Server Web-J Edition 4.0 | Solaris OE | FJSVawjdk | 912322-01 |
INTERSTAGE Application Server Standard Edition 4.0 | Solaris OE | FJSVawjdk | 912322-01 |
INTERSTAGE Application Server Enterprise Edition 4.0 | Solaris OE | FJSVawjdk | 912322-01 |
INTERSTAGE Application Server Web-J Edition 4.1 | Solaris OE | FJSVawjdk | 912323-01 |
INTERSTAGE Application Server Standard Edition 4.1 | Solaris OE | FJSVawjdk | 912323-01 |
INTERSTAGE Application Server Enterprise Edition 4.1 | Solaris OE | FJSVawjdk | 912323-01 |
INTERSTAGE Application Server Standard Edition 5.0 | Solaris OE | FJSVawjdk | 912324-01 |
INTERSTAGE Application Server Enterprise Edition 5.0 | Solaris OE | FJSVawjdk | 912324-01 |
INTERSTAGE Application Server Standard Edition 5.0.1 | Solaris OE | FJSVawjdk | 912359-01 |
INTERSTAGE Application Server Enterprise Edition 5.0.1 | Solaris OE | FJSVawjdk | 912359-01 |
INTERSTAGE Application Server Web-J Edition 3.1 | Linux | - | T00025-01 |
INTERSTAGE Application Server Web-J Edition 3.1.1 | Linux | - | T00049-01 |
INTERSTAGE Application Server Web-J Edition 4.0 | Linux | - | T00028-01 |
INTERSTAGE Application Server Web-J Edition 4.1 | Linux | - | T00027-01 |
INTERSTAGE Application Server Standard Edition 4.1 | Linux | - | T00027-01 |
INTERSTAGE Application Server Enterprise Edition 4.1 | Linux | - | T00027-01 |
お願い)
912321-01,912398-01,912399-01につきましては、パッチに不備があり、適用できないケースがございます。ただし、2002年11月23日以降にダウンロードされたパッチには問題はございません。
11月22日以前にダウンロードされた場合、お手数ながら912321-02,912398-02,912399-02を適用いただきたくお願いいたします。
なお、お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2003年10月10日 2.該当システムの範囲、5.パッチ情報 にLinux版の製品情報を追加
- 2003年1月31日 5.パッチ情報を一部更新
対象OS Solaris OE のパッチファイル一部の版数アップ - 2002年11月22日 5.パッチ情報を一部更新
対象OS Solaris OE のパッチファイルを公開 - 2002年11月15日 新規掲載