Interstage Application ServerにおけるJSPソースおよびディレクトリリストが漏洩する問題について (2004年1月9日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | Interstage Application ServerにおけるJSPソースおよびディレクトリリストが漏洩する問題について | ||||||||||||||||||||||||||||||||||||||
製品提供元: | 富士通株式会社 | ||||||||||||||||||||||||||||||||||||||
該当製品: |
| ||||||||||||||||||||||||||||||||||||||
該当システム: | GP7000F, PRIMEPOWER, GP-S | ||||||||||||||||||||||||||||||||||||||
システムへの影響: | サーバ情報の漏洩が発生する可能性があります。 | ||||||||||||||||||||||||||||||||||||||
一時的な回避方法: | ありません。 | ||||||||||||||||||||||||||||||||||||||
パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
Interstage Application Serverの提供するServletサービスにおいて、JSPソースおよびディレクトリリストの情報が漏洩する可能性があることが確認されました。
Interstage Application Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/apserver/
2. 該当システムの範囲
該当コマンド/ファイル | 製品名 | 対象OS |
---|---|---|
jscontainer.jar | Interstage Application Server Enterprise Edition 5.0.1 912616-01 | Solaris 7, 8, 9 OE |
jscontainer.jar | Interstage Application Server Standard Edition 5.0.1 912617-01 | Solaris 7, 8, 9 OE |
jscontainer.jar | Interstage Application Web-J Edition 5.0.1 912618-01 | Solaris 7, 8, 9 OE |
jscontainer.jar | Interstage Application Server Enterprise Edition 5.0 912193-03 | Solaris 7, 8 OE |
jscontainer.jar | Interstage Application Server Standard Edition 5.0 912194-03 | Solaris 7, 8 OE |
jscontainer.jar | Interstage Application Web-J Edition 5.0 912195-03 | Solaris 7, 8 OE |
js12222.jar | INTERSTAGE Application Server Enterprise Edition 3.1 911111-12, 4.0 911367-05, 4.1 911892-04 | Solaris 2.6, 7, 8 OE |
js12222.jar | INTERSTAGE Application Server Standard Edition 3.1 911112-12, 4.0 911368-05, 4.1 911893-04 | Solaris 2.6, 7, 8 OE |
js12222.jar | INTERSTAGE Application Server Web-J Edition 3.1 911120-12, 4.0 911562-04, 4.1 911894-04 | Solaris 2.6, 7, 8 OE |
js13022.jar | INTERSTAGE Application Server Enterprise Edition 3.1 911111-12, 4.0 911367-05, 4.1 911892-04 | Solaris 2.6, 7, 8 OE |
js13022.jar | INTERSTAGE Application Server Standard Edition 3.1 911112-12, 4.0 911368-05, 4.1 911893-04 | Solaris 2.6, 7, 8 OE |
js13022.jar | INTERSTAGE Application Server Web-J Edition 3.1 911120-12, 4.0 911562-04, 4.1 911894-04 | Solaris 2.6, 7, 8 OE |
注意)上記、各パッチを適用したものが本脆弱性の影響を受けます。適用していない製品は問題ありません。
3. 発見されている問題点
Interstage Application Serverの提供するServletサービスにおいて、JSPソースおよびディレクトリリストの情報が漏洩する可能性があります。
攻撃者がこの問題を利用して、サーバの情報の入手および、入手した情報を元に新たな攻撃が行われる可能性があります。
4. 一時的な回避方法
ありません。
5. パッチ情報
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition 5.0.1 | Solaris 7, 8, 9 OE | JServlet | 912616-02 |
Interstage Application Server Standard Edition 5.0.1 | Solaris 7, 8, 9 OE | JServlet | 912617-02 |
Interstage Application Server Web-J Edition 5.0.1 | Solaris 7, 8, 9 OE | JServlet | 912618-02 |
Interstage Application Server Enterprise Edition 5.0 | Solaris 7, 8 OE | JServlet | 912193-04 |
Interstage Application Server Standard Edition 5.0 | Solaris 7, 8 OE | JServlet | 912194-04 |
Interstage Application Server Web-J Edition 5.0 | Solaris 7, 8 OE | JServlet | 912195-04 |
INTERSTAGE Application Server Enterprise Edition 4.1 | Solaris 2.6, 7, 8 OE | JServlet | 911892-05 |
INTERSTAGE Application Server Standard Edition 4.1 | Solaris 2.6, 7, 8 OE | JServlet | 911893-05 |
INTERSTAGE Application Server Web-J Edition 4.1 | Solaris 2.6, 7, 8 OE | JServlet | 911894-05 |
INTERSTAGE Application Server Enterprise Edition 4.0 | Solaris 2.6, 7, 8 OE | JServlet | 911367-06 |
INTERSTAGE Application Server Standard Edition 4.0 | Solaris 2.6, 7, 8 OE | JServlet | 911368-06 |
INTERSTAGE Application Server Web-J Edition 4.0 | Solaris 2.6, 7, 8 OE | JServlet | 911562-05 |
INTERSTAGE Application Server Enterprise Edition 3.1 | Solaris 2.6, 7, 8 OE | JServlet | 911111-13 |
INTERSTAGE Application Server Standard Edition 3.1 | Solaris 2.6, 7, 8 OE | JServlet | 911112-13 |
INTERSTAGE Application Server Web-J Edition 3.1 | Solaris 2.6, 7, 8 OE | JServlet | 911120-13 |
本パッチ情報は、「Interstage Application Serverにおけるセションハイジャックの危険性の問題について」として http://software.fujitsu.com/jp/security/products-fujitsu/solution/interstage_as_200401.htmlで公開中の情報と共通ですので、どちらか一方を適用していただくだけで結構です。
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2004年1月9日 5.パッチ情報に注意書きを追加
- 2003年10月1日 新規掲載