Interstage HTTP Serverにおけるセキュリティ脆弱性の問題 (2003年10月3日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | Interstage HTTP Serverにおけるセキュリティ脆弱性の問題 | ||||||||||||
| 製品提供元: | 富士通株式会社 | ||||||||||||
| 該当製品: |
| ||||||||||||
| 該当システム: | Windows NT, 2000, XP Solaris 7,8,9 OE
Turbolinux 7 RedHat Linux Advanced Server 2.1 | ||||||||||||
| システムへの影響: |
| ||||||||||||
| 一時的な回避方法: | 4.に示します。 | ||||||||||||
| パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
Interstage Application Serverにおいて以下の問題があることが判明しました。
Interstageが提供する HTTP Server(FJapache)において、"セキュリティに関する脆弱性の問題"を抱えていることが確認されました。
- ログの記録が停止する問題は、以下のCERTに該当します。
「CAN-2003-0460 (cve.mitre.org) CERT/CC Vulnerability Note VU#694428 Apache stops writing access/error logs after processing "Request-URI" containing "0x1A" characters.」 - 内部リダイレクトによる無限ループの問題は、該当するCERTはありません。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
Interstage Application Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apserver/
2. 該当システムの範囲
| 該当コマンド/ファイル | 製品名 | 対象OS |
|---|---|---|
| ApacheCore.dll
rotatelogs.exe ihsrlog.exe | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A | Windows NT, 2000 |
| ApacheCore.dll
rotatelogs.exe ihsrlog.exe | Interstage Application Server Standard Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A | Windows NT, 2000 |
| ApacheCore.dll
rotatelogs.exe ihsrlog.exe | Interstage Application Server Web-J Edition
V5.0L10, V5.0L10A, V5.0L10B, V5.0L20, V5.0L20A | Windows NT, 2000 |
| ApacheCore.dll
rotatelogs.exe ihsrlog.exe | Interstage Application Server Plus
V5.0L20, V5.0L20A | Windows NT, 2000 |
| ApacheCore.dll
rotatelogs.exe ihsrlog.exe | Interstage Application Server Plus Developer
V5.0L20 | Windows NT, 2000, XP |
| httpd | Interstage Application Server Enterprise Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7,8,9 OE |
| httpd | Interstage Application Server Standard Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7,8,9 OE |
| httpd | Interstage Application Server Web-J Edition
5.0, 5.0.1, 5.1, 5.1.1 | Solaris 7,8,9 OE |
| httpd | Interstage Application Server Plus
5.1, 5.1.1 | Solaris 7,8,9 OE |
| httpd | Interstage Application Server Enterprise Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
| httpd | Interstage Application Server Standard Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
| httpd | Interstage Application Server Web-J Edition
V5.0L10, V5.0L11, V5.0L20 | Turbolinux 7 |
| httpd | Interstage Application Server Plus
V5.0L20 | Turbolinux 7 |
| httpd | Interstage Application Server Enterprise Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
| httpd | Interstage Application Server Standard Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
| httpd | Interstage Application Server Web-J Edition
V5.0L11, V5.0L20 | RedHat Linux
Advanced Server 2.1 |
| httpd | Interstage Application Server Plus
V5.0L20 | RedHat Linux
Advanced Server 2.1 |
3. 発見されている問題点
- ログの記録が停止する問題(CAN-2003-0460, VU#694428)
rotatelogs/ihsrlog機能を使用してログを記録している環境において、特殊文字を送信された際に不適切な処理をおこなう脆弱性があります。
このため、悪意のある第三者からの攻撃によって、ログが記録されなくなる問題が発生する可能性があります。
なお、本セキュリティホールは Windowsシステムにのみ影響を与えます。 - 内部リダイレクトによる無限ループの問題
悪意のある第三者によって細工されたリクエストを受信した際に、内部処理で大量のリダイレクトやネストしたサブリクエストが発生することがあります。
このため、適切な処理がおこなえず、プロセスが無限ループに陥る可能性があり、システムのスローダウンを引き起こす等の問題が発生します。
4. 一時的な回避方法
- ログの記録が停止する問題(CAN-2003-0460, VU#694428)
攻撃を回避し、ログを記録するには、以下に示す方法で対処してください。
環境定義ファイル(httpd.conf)内のログ設定を以下のように設定します。- ErrorLog "logs/errorlog"
- CustomLog "logs/accesslog" common
- 内部リダイレクトによる無限ループの問題
第三者(クライアント側)からサーバリソースのアクセス操作を禁止してください。
具体的には、以下の対処を行ってください。- ファイル(.htaccessなど)のアップロードなどの目的で外部からのftpを許可している場合、ftp操作を禁止する。
- 第三者がアクセスできるようなディレクトリ、および、ファイルのアクセス権限をアクセス禁止にする。
5. パッチ情報
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| Interstage Application Server
Enterprise Edition V5.0L10 | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Standard Edition V5.0L10 | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Web-J Edition V5.0L10 | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Enterprise Edition V5.0L10A | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Standard Edition V5.0L10A | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Web-J Edition V5.0L10A | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Enterprise Edition V5.0L10B | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Standard Edition V5.0L10B | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Web-J Edition V5.0L10B | Windows NT, 2000 | F3FMihs | TP05731 |
| Interstage Application Server
Enterprise Edition V5.0L20 | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Standard Edition V5.0L20 | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Web-J Edition V5.0L20 | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Plus V5.0L20 | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Plus Developer V5.0L20 | Windows NT, 2000, XP | F3FMihs | TP15731 |
| Interstage Application Server
Enterprise Edition V5.0L20A | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Standard Edition V5.0L20A | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Web-J Edition V5.0L20A | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Plus V5.0L20A | Windows NT, 2000 | F3FMihs | TP15731 |
| Interstage Application Server
Enterprise Edition 5.0 | Solaris 7,8,9 OE | FJSVihs | 912327-03 |
| Interstage Application Server
Standard Edition 5.0 | Solaris 7,8,9 OE | FJSVihs | 912327-03 |
| Interstage Application Server
Web-J Edition 5.0 | Solaris 7,8,9 OE | FJSVihs | 912327-03 |
| Interstage Application Server
Enterprise Edition 5.0.1 | Solaris 7,8,9 OE | FJSVihs | 912499-02 |
| Interstage Application Server
Standard Edition 5.0.1 | Solaris 7,8,9 OE | FJSVihs | 912499-02 |
| Interstage Application Server
Web-J Edition 5.0.1 | Solaris 7,8,9 OE | FJSVihs | 912499-02 |
| Interstage Application Server
Enterprise Edition 5.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Standard Edition 5.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Web-J Edition 5.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Plus 5.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Enterprise Edition 5.1.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Standard Edition 5.1.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Web-J Edition 5.1.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Plus 5.1.1 | Solaris 7,8,9 OE | FJSVihs | 913075-01 |
| Interstage Application Server
Enterprise Edition V5.0L10 | Turbolinux 7 | FJSVihs | T00019-03 |
| Interstage Application Server
Standard Edition V5.0L10 | Turbolinux 7 | FJSVihs | T00019-03 |
| Interstage Application Server
Web-J Edition V5.0L10 | Turbolinux 7 | FJSVihs | T00019-03 |
| Interstage Application Server
Enterprise Edition V5.0L11 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00034-02 |
| Interstage Application Server
Standard Edition V5.0L11 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00034-02 |
| Interstage Application Server
Web-J Edition V5.0L11 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00034-02 |
| Interstage Application Server
Enterprise Edition V5.0L20 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00091-01 |
| Interstage Application Server
Standard Edition V5.0L20 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00091-01 |
| Interstage Application Server
Web-J Edition V5.0L20 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00091-01 |
| Interstage Application Server
Plus V5.0L20 | Turbolinux 7
RedHat Linux AS2.1 | FJSVihs | T00091-01 |
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2003年10月3日 第2版
- [概要]の該当システムに"WindowsXP"を追加しました。
- [概要]の該当製品、2.該当システムの範囲 の製品名:Interstage Application Server Plus Developer V5.0L20 の 対象OS に"WindowsXP"を追加しました。
- 5.パッチ情報 を掲載しました。
- 2003年8月1日 新規掲載
