1. ホーム
  2. 製品
  3. ソフトウェア
  4. ライブラリー
  5. インフォメーション&ダウンロード
  6. ソフトウェア セキュリティ
  7. INTERSTAGE APWORKSおよびINTERSTAGE Application Serverにおける、Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性) (2003年10月10日)

INTERSTAGE APWORKSおよびINTERSTAGE Application Serverにおける、Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性) (2003年10月10日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点:Java実行環境(JRE)のセキュリティの問題(圧縮・復元ライブラリ(zlib)に脆弱性)
製品提供元:富士通株式会社
該当製品:2.該当システムの範囲を参照願います。
該当システム:PRIMERGY, GP5000, PC/AT互換機, GP7000F, PRIMEPOWER, GP-S
システムへの影響:Java実行システムでの任意のコードの実行、サービスの異常、情報漏洩が考えられる。
一時的な回避方法:4.に示します。
パッチ:あり。(提供範囲は「5.パッチ情報」を参照)

1. 背景

 CERT(R) Advisory CA-2002-07 に基づく障害です。http://www.cert.org/advisories/CA-2002-07.html

 JavaVMのデータ圧縮・復元ライブラリ(zlib)にセキュリティホールが見つかっています。
 通常のJavaプログラムでは、このセキュリティホールを利用することはありませんが、不正に圧縮コードを改変した悪意のあるプログラムを利用した場合は、このセキュリティホールを利用して第三者がそのコードをユーザのコードとして実行させ、結果としてサービスの異常や、情報の漏洩などの影響を与える可能性があります。

 発生条件は次のとおりです。

 1)以下のJDK/JREを使用している。
  JDK/JRE 1.1~1.1.8_09
  JDK/JRE 1.2.2~1.2.2_011(注)
  JDK/JRE 1.3.0~1.3.1_03(注)
  JDK/JRE 1.4.0(注)
  (注)富士通提供のJDK/JRE 1.2.2_011、1.3.1_03及び1.4.0では修正済み。

 かつ、
  
 2)以下の(2.1)または(2.2)のいずれか一方の条件を満たす。
  (2.1)実行するアプリがJRE以外の*.zipや*.jarなどの圧縮形式のクラスライブラリを使用している。
  (2.2)実行するアプリ内でjava.util.zipパッケージでデータ復元機能を実装し、任意の圧縮ファイルの復元を行っている。

  富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

 Interstage Application Serverについては以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/

2. 該当システムの範囲

該当コマンド/ファイル製品名対象OS
java,jreAPWORKS Enterprise V1.0L10, V1.0L10A, V2.0L10, V2.0L20Windows
java,jreAPWORKS Professional V1.0L10, V1.0L10A, V2.0L10, V2.0L20Windows
java,jreAPWORKS クライアント運用パッケージ V1.0L10, V1.0L10A, V2.0L10, V2.0L20, V3.0L10, V3.0L20, V4.0L10, V4.0L20Windows
java,jreAPWORKS サーバ運用パッケージ V1.0L10, V1.0L10A, V2.0L10, V2.0L20Windows
java,jreINTERSTAGE APWORKS Enterprise Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20Windows
java,jreINTERSTAGE APWORKS Professional Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20Windows
java,jreINTERSTAGE APWORKS Web Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20Windows
java,jreInterstage Apworks Enterprise Edition V5.0L10Windows
java,jreInterstage Apworks Standard Edition V5.0L10Windows
java,jreInterstage Apworks クライアント運用パッケージ V5.0L10Windows
java,jreINTERSTAGE Application Server Web-J Edition V3.0L20, V4.0L10, V4.0L20Windows
java,jreINTERSTAGE Application Server Web Edition V3.0L10, V3.0L20Windows
java,jreINTERSTAGE Application Server Standard Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20, V5.0L10, V5.0L10A, V5.0L10BWindows
java,jreINTERSTAGE Application Server Enterprise Edition V3.0L10, V3.0L20, V4.0L10, V4.0L20, V5.0L10, V5.0L10A, V5.0L10BWindows
java,jreAPWORKS サーバ運用パッケージ 2.0Solaris OE
java,jreINTERSTAGE Application Server Standard Edition 3.0, 3.0.1, 3.1, 4.0, 4.1, 5.0, 5.0.1Solaris OE
java,jreINTERSTAGE Application Server Enterprise Edition 3.0, 3.0.1, 3.1, 4.0, 4.1, 5.0, 5.0.1Solaris OE
java,jreINTERSTAGE Application Server Web-J Edition 3.1, 4.0, 4.1Solaris OE
java,jreINTERSTAGE Application Server Web-J Edition 3.1, 3.1.1, 4.0, 4.1Linux
java,jreINTERSTAGE Application Server Standard Edition 4.1Linux
java,jreINTERSTAGE Application Server Enterprise Edition 4.1Linux

3. 発見されている問題点

 悪意のあるJavaプログラムにより任意のコードの実行、サービスの異常、または、情報漏洩が行われる場合があります。

4. 一時的な回避方法

 ありません。
 信頼できないWebサイトのアクセス、または、信頼できないプログラムの実行をしないようにしてください。

5. パッチ情報

製品名対象OSパッケージ名Patch ID
APWORKS Enterprise V1.0L10Windows-JDK/JRE 1.1.3の場合
 TP04687_113

JDK/JRE 1.1.6の場合
 TP04687_116
APWORKS Professional V1.0L10Windows-
APWORKS クライアント運用パッケージ V1.0L10Windows-
APWORKS サーバ運用パッケージ V1.0L10Windows-
APWORKS Enterprise V1.0L10AWindows-
APWORKS Professional V1.0L10AWindows-
APWORKS クライアント運用パッケージ V1.0L10AWindows-
APWORKS サーバ運用パッケージ V1.0L10AWindows-
APWORKS Enterprise V2.0L10Windows-JDK/JRE 1.1.8の場合
 TP14687_118

JDK/JRE 1.2.2の場合
 TP14687_122
APWORKS Professional V2.0L10Windows-
APWORKS クライアント運用パッケージ V2.0L10Windows-
APWORKS サーバ運用パッケージ V2.0L10Windows-
APWORKS Enterprise V2.0L20Windows-JDK/JRE 1.1.8の場合
 TP24687_118

JDK/JRE 1.2.2_001の場合
 TP24687_122_001
APWORKS Professional V2.0L20Windows-
APWORKS クライアント運用パッケージ V2.0L20Windows-
APWORKS サーバ運用パッケージ V2.0L20Windows-
INTERSTAGE APWORKS Enterprise Edition V3.0L10Windows-JDK/JRE 1.1.8の場合
 TP34687_118

JDK/JRE 1.2.2_001の場合
 TP34687_122_001

JDK/JRE 1.3.0の場合
 TP34687_130
INTERSTAGE APWORKS Professional Edition V3.0L10Windows-
INTERSTAGE APWORKS Web Edition V3.0L10Windows-
APWORKS クライアント運用パッケージ V3.0L10Windows-
INTERSTAGE APWORKS Enterprise Edition V3.0L20Windows-JDK/JRE 1.1.8_005の場合
 TP44687_118_005

JDK/JRE 1.2.2_006の場合
 TP44687_122_006

JDK/JRE 1.3.0の場合
 TP44687_130
INTERSTAGE APWORKS Professional Edition V3.0L20Windows-
INTERSTAGE APWORKS Web Edition V3.0L20Windows-
APWORKS クライアント運用パッケージ V3.0L20Windows-
INTERSTAGE APWORKS Enterprise Edition V4.0L10Windows-JDK/JRE 1.1.8_007の場合
 TP54687_118_007

JDK/JRE 1.2.2_008の場合
 TP54687_122_008

JDK/JRE 1.3.1の場合
 TP54687_131
INTERSTAGE APWORKS Professional Edition V4.0L10Windows-
INTERSTAGE APWORKS Web Edition V4.0L10Windows-
APWORKS クライアント運用パッケージ V4.0L10Windows-
INTERSTAGE APWORKS Enterprise Edition V4.0L20Windows-JDK/JRE 1.1.8_008の場合
 TP64687_118_008

JDK/JRE 1.2.2_010の場合
 TP64687_122_010

JDK/JRE 1.3.1_01aの場合
 TP64687_131_01a
INTERSTAGE APWORKS Professional Edition V4.0L20Windows-
INTERSTAGE APWORKS Web Edition V4.0L20Windows-
APWORKS クライアント運用パッケージ V4.0L20Windows-
Interstage Apworks Enterprise Edition V5.0L10Windows-JDK/JRE 1.1.8_009の場合
 TP74687_118_009
Interstage Apworks Standard Edition V5.0L10Windows-
Interstage Apworks クライアント運用パッケージ V5.0L10Windows-
INTERSTAGE Application Server Web Edition V3.0L10Windows-JDK/JRE 1.1.8の場合
 TP04872_118

JDK/JRE 1.2.2_001の場合
 TP04872_122_001

JDK/JRE 1.3.0の場合
 TP04872_130
INTERSTAGE Application Server Standard Edition V3.0L10Windows-
INTERSTAGE Application Server Enterprise Edition V3.0L10Windows-
INTERSTAGE Application Server Web-J Edition V3.0L20Windows-JDK/JRE 1.1.8_005の場合
 TP14872_118_005

JDK/JRE 1.2.2_006の場合
 TP14872_122_006

JDK/JRE 1.3.0の場合
 TP14872_130
INTERSTAGE Application Server Web Edition V3.0L20Windows-
INTERSTAGE Application Server Standard Edition V3.0L20Windows-
INTERSTAGE Application Server Enterprise Edition V3.0L20Windows-
INTERSTAGE Application Server Web-J Edition V4.0L10Windows-JDK/JRE 1.1.8_007の場合
 TP24872_118_007

JDK/JRE 1.2.2_008の場合
 TP24872_122_008

JDK/JRE 1.3.1の場合
 TP24872_131
INTERSTAGE Application Server Standard Edition V4.0L10Windows-
INTERSTAGE Application Server Enterprise Edition V4.0L10Windows-
INTERSTAGE Application Server Web-J Edition V4.0L20Windows-JDK/JRE 1.1.8_008の場合
 TP34872_118_008

JDK/JRE 1.2.2_010の場合
 TP34872_122_010

JDK/JRE 1.3.1_01aの場合
 TP34872_131_01a
INTERSTAGE Application Server Standard Edition V4.0L20Windows-
INTERSTAGE Application Server Enterprise Edition V4.0L20Windows-
Interstage Application Server Standard Edition V5.0L10Windows-JDK/JRE 1.1.8_009の場合
 TP44872_118_009
Interstage Application Server Enterprise Edition V5.0L10Windows-
Interstage Application Server Standard Edition V5.0L10AWindows-
Interstage Application Server Enterprise Edition V5.0L10AWindows-
Interstage Application Server Standard Edition V5.0L10BWindows-
Interstage Application Server Enterprise Edition V5.0L10BWindows-
APWORKS サーバ運用パッケージ 2.0Solaris OEFJSVawjbk912320-01
INTERSTAGE Application Server Standard Edition 3.0Solaris OEFJSVawjbk912321-02
INTERSTAGE Application Server Enterprise Edition 3.0Solaris OEFJSVawjbk912321-02
INTERSTAGE Application Server Standard Edition 3.0.1Solaris OEFJSVawjbk912398-02
INTERSTAGE Application Server Enterprise Edition 3.0.1Solaris OEFJSVawjbk912398-02
INTERSTAGE Application Server Web-J Edition 3.1Solaris OEFJSVawjbk912399-02
INTERSTAGE Application Server Standard Edition 3.1Solaris OEFJSVawjbk912399-02
INTERSTAGE Application Server Enterprise Edition 3.1Solaris OEFJSVawjbk912399-02
INTERSTAGE Application Server Web-J Edition 4.0Solaris OEFJSVawjdk912322-01
INTERSTAGE Application Server Standard Edition 4.0Solaris OEFJSVawjdk912322-01
INTERSTAGE Application Server Enterprise Edition 4.0Solaris OEFJSVawjdk912322-01
INTERSTAGE Application Server Web-J Edition 4.1Solaris OEFJSVawjdk912323-01
INTERSTAGE Application Server Standard Edition 4.1Solaris OEFJSVawjdk912323-01
INTERSTAGE Application Server Enterprise Edition 4.1Solaris OEFJSVawjdk912323-01
INTERSTAGE Application Server Standard Edition 5.0Solaris OEFJSVawjdk912324-01
INTERSTAGE Application Server Enterprise Edition 5.0Solaris OEFJSVawjdk912324-01
INTERSTAGE Application Server Standard Edition 5.0.1Solaris OEFJSVawjdk912359-01
INTERSTAGE Application Server Enterprise Edition 5.0.1Solaris OEFJSVawjdk912359-01
INTERSTAGE Application Server Web-J Edition 3.1Linux-T00025-01
INTERSTAGE Application Server Web-J Edition 3.1.1Linux-T00049-01
INTERSTAGE Application Server Web-J Edition 4.0Linux-T00028-01
INTERSTAGE Application Server Web-J Edition 4.1Linux-T00027-01
INTERSTAGE Application Server Standard Edition 4.1Linux-T00027-01
INTERSTAGE Application Server Enterprise Edition 4.1Linux-T00027-01

お願い)
 912321-01,912398-01,912399-01につきましては、パッチに不備があり、適用できないケースがございます。ただし、2002年11月23日以降にダウンロードされたパッチには問題はございません。
 11月22日以前にダウンロードされた場合、お手数ながら912321-02,912398-02,912399-02を適用いただきたくお願いいたします。
 なお、お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。

6. 改版履歴

  • 2003年10月10日 2.該当システムの範囲、5.パッチ情報 にLinux版の製品情報を追加
  • 2003年1月31日 5.パッチ情報を一部更新
                 対象OS Solaris OE のパッチファイル一部の版数アップ
  • 2002年11月22日 5.パッチ情報を一部更新
                 対象OS Solaris OE のパッチファイルを公開
  • 2002年11月15日 新規掲載

ページの先頭へ