Interstageアプリケーションサーバのシングル・サインオン機能における脆弱性について (2005年9月29日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
問題点: | Interstageアプリケーションサーバのシングル・サインオン機能における脆弱性 | ||||||||
製品提供元: | 富士通株式会社 | ||||||||
該当製品: |
| ||||||||
該当システム: | PRIMEPOWER, GP7000F, GP-S, PRIMERGY, GP5000, CELSIUS, FMV, AT互換機, 他社Sun互換機 | ||||||||
システムへの影響: | フィッシング詐欺などの攻撃の踏み台に利用される可能性があります。 | ||||||||
一時的な回避方法: | ありません。 | ||||||||
パッチ: | V6系製品に対する修正パッチは、「5.パッチ情報」を参照下さい。
V7系製品に対する修正パッチは、「5.パッチ情報」を参照下さい。 V5系製品のシングル・サインオン機能をご利用のお客様は、弊社SEにお問い合わせください。 |
1. 背景
Interstageアプリケーションサーバのシングル・サインオン機能において脆弱性があり、 攻撃者により、利用者が他のサイトへ導かれる可能性があります。
このため、フィッシング詐欺などの攻撃の踏み台に利用される可能性があります。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
Interstage製品については、以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 該当システムの範囲
該当コマンド/ファイル | 製品名 | 対象OS |
---|---|---|
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Server Enterprise Edition
V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Server Standard Edition
V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Server Plus
V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Server Plus Developer
V5.0L20, V6.0L10, V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Apworks Enterprise Edition
V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Apworks Standard Edition
V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Apworks Modelers-J Edition
V6.0L10, V6.0L10A, V7.0L10 | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Framework Suite Enterprise Edition
V6.0L10, V6.0L10B | Windows |
F3FMssoatcag.dll
F3FMssomsg.dll F3FMssoutils.dll | Interstage Application Framework Suite Standard Edition
V6.0L10, V6.0L10B, V7.0L10 | Windows |
ssoatcag.so
libssoutils.so | Interstage Application Server Enterprise Edition
5.1.1, 6.0, 6.0.1, 7.0 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Application Server Standard Edition
5.1.1, 6.0, 6.0.1, 7.0 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Application Server Plus
5.1.1, 7.0 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Application Framework Suite Enterprise Edition
6.0, 6.0.1, 7.0.1 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Application Framework Suite Standard Edition
6.0, 6.0.1, 7.0 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Business Application Server Enterprise Edition
7.0 | Solaris |
ssoatcag.so
libssoutils.so | Interstage Application Server Enterprise Edition
V6.0L10 | Linux |
ssoatcag.so
libssoutils.so | Interstage Application Server Standard Edition
V6.0L10 | Linux |
ssoatcag.so
libssoutils.so | Interstage Application Framework Suite Enterprise Edition
V6.0L10 | Linux |
ssoatcag.so
libssoutils.so | Interstage Application Framework Suite Standard Edition
V6.0L10 | Linux |
3. 発見されている問題点
Interstageアプリケーションサーバのシングル・サインオン機能において脆弱性があり、 攻撃者により、利用者が他のサイトへ導かれる可能性があります。
このため、フィッシング詐欺などの攻撃の踏み台に利用される可能性があります。
4. 一時的な回避方法
ありません。5. パッチ情報
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition V6.0L10 | Windows | F3FMsso | TP17489 |
Interstage Application Server Standard Edition V6.0L10 | Windows | F3FMsso | TP17489 |
Interstage Application Server Plus V6.0L10 | Windows | F3FMsso | TP07489 |
Interstage Application Server Plus Developer V6.0L10 | Windows | F3FMsso | TP07489 |
Interstage Application Server Plus V6.0L10A | Windows | F3FMsso | TP07489 |
Interstage Application Server Enterprise Edition V6.0L10B | Windows | F3FMsso | TP27489 |
Interstage Application Server Standard Edition V6.0L10B | Windows | F3FMsso | TP27489 |
Interstage Application Server Plus V6.0L10B | Windows | F3FMsso | TP07489 |
Interstage Application Server Enterprise Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Application Server Standard Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Application Server Plus V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Application Server Plus Developer V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Apworks Modelers-J Edition V6.0L10 | Windows | F3FMsso | TP07489 |
Interstage Apworks Modelers-J Edition V6.0L10A | Windows | F3FMsso | TP07489 |
Interstage Apworks Enterprise Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Apworks Standard Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Apworks Modelers-J Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Windows | F3FMsso | TP17489 |
Interstage Application Framework Suite Standard Edition V6.0L10 | Windows | F3FMsso | TP17489 |
Interstage Application Framework Suite Enterprise Edition V6.0L10B | Windows | F3FMsso | TP27489 |
Interstage Application Framework Suite Standard Edition V6.0L10B | Windows | F3FMsso | TP27489 |
Interstage Application Framework Suite Standard Edition V7.0L10 | Windows | F3FMsso | TP37489 |
Interstage Application Server Enterprise Edition 6.0 | Solaris | FJSVssoac | T009ES-02 |
Interstage Application Server Enterprise Edition 6.0 | Solaris | FJSVssocm | T009FS-02 |
Interstage Application Server Standard Edition 6.0 | Solaris | FJSVssoac | T009ES-02 |
Interstage Application Server Standard Edition 6.0 | Solaris | FJSVssocm | T009FS-02 |
Interstage Application Server Enterprise Edition 6.0.1 | Solaris | FJSVssoac | T013LS-01 |
Interstage Application Server Enterprise Edition 6.0.1 | Solaris | FJSVssocm | T013MS-01 |
Interstage Application Server Standard Edition 6.0.1 | Solaris | FJSVssoac | T013LS-01 |
Interstage Application Server Standard Edition 6.0.1 | Solaris | FJSVssocm | T013MS-01 |
Interstage Application Server Enterprise Edition 7.0 | Solaris | FJSVssoac | T013NS-02 |
Interstage Application Server Enterprise Edition 7.0 | Solaris | FJSVssocm | T013PS-02 |
Interstage Application Server Standard Edition 7.0 | Solaris | FJSVssoac | T013NS-02 |
Interstage Application Server Standard Edition 7.0 | Solaris | FJSVssocm | T013PS-02 |
Interstage Application Server Plus 7.0 | Solaris | FJSVssoac | T013NS-02 |
Interstage Application Server Plus 7.0 | Solaris | FJSVssocm | T013PS-02 |
Interstage Application Framework Suite Enterprise Edition 6.0 | Solaris | FJSVssoac | T009ES-02 |
Interstage Application Framework Suite Enterprise Edition 6.0 | Solaris | FJSVssocm | T009FS-02 |
Interstage Application Framework Suite Standard Edition 6.0 | Solaris | FJSVssoac | T009ES-02 |
Interstage Application Framework Suite Standard Edition 6.0 | Solaris | FJSVssocm | T009FS-02 |
Interstage Application Framework Suite Enterprise Edition 6.0.1 | Solaris | FJSVssoac | T013LS-01 |
Interstage Application Framework Suite Enterprise Edition 6.0.1 | Solaris | FJSVssocm | T013MS-01 |
Interstage Application Framework Suite Standard Edition 6.0.1 | Solaris | FJSVssoac | T013LS-01 |
Interstage Application Framework Suite Standard Edition 6.0.1 | Solaris | FJSVssocm | T013MS-01 |
Interstage Application Framework Suite Standard Edition 7.0 | Solaris | FJSVssoac | T013NS-02 |
Interstage Application Framework Suite Standard Edition 7.0 | Solaris | FJSVssocm | T013PS-02 |
Interstage Application Framework Suite Enterprise Edition 7.0.1 | Solaris | FJSVssoac | T013NS-02 |
Interstage Application Framework Suite Enterprise Edition 7.0.1 | Solaris | FJSVssocm | T013PS-02 |
Interstage Business Application Server Enterprise Edition 7.0 | Solaris | FJSVssoac | T013NS-02 |
Interstage Business Application Server Enterprise Edition 7.0 | Solaris | FJSVssocm | T013PS-02 |
Interstage Application Server Enterprise Edition V6.0L10 | Linux | FJSVssoac | T00546-01 |
Interstage Application Server Enterprise Edition V6.0L10 | Linux | FJSVssocm | T00547-01 |
Interstage Application Server Standard Edition V6.0L10 | Linux | FJSVssoac | T00546-01 |
Interstage Application Server Standard Edition V6.0L10 | Linux | FJSVssocm | T00547-01 |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Linux | FJSVssoac | T00546-01 |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Linux | FJSVssocm | T00547-01 |
Interstage Application Framework Suite Standard Edition V6.0L10 | Linux | FJSVssoac | T00546-01 |
Interstage Application Framework Suite Standard Edition V6.0L10 | Linux | FJSVssocm | T00547-01 |
V5系製品のシングル・サインオン機能をご利用のお客様は、弊社SEにお問い合わせください。
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2005年9月29日 該当製品/該当システムの範囲/パッチ情報に、以下の製品を追加
Interstage Application Framework Suite Enterprise Edition 7.0.1
Interstage Business Application Server Enterprise Edition 7.0
パッチ情報にて、以下のPatch IDを変更
T013NS-01 → T013NS-02
T013PS-01 → T013PS-02 - 2005年6月23日 該当システムに「FMR」を削除し「AT互換機」、「他社Sun互換機」を追加
V7系製品向けマニュアルの暫定公開先URLの記事を削除 - 2005年4月15日 V7系製品向けのパッチ情報を記載
- 2005年4月6日 新規掲載