Interstageアプリケーションサーバのシングル・サインオン機能における脆弱性について (2005年9月29日)

本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った（あるいは行わなかった）ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点：

Interstageアプリケーションサーバのシングル・サインオン機能における脆弱性

製品提供元：

富士通株式会社

該当製品：

対象OS	製品名
Windows	Interstage Application Server Enterprise Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 Interstage Application Server Standard Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10 Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10 Interstage Application Server Plus Developer V5.0L20, V6.0L10, V7.0L10 Interstage Apworks Enterprise Edition V7.0L10 Interstage Apworks Standard Edition V7.0L10 Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A, V7.0L10 Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B, V7.0L10
Solaris	Interstage Application Server Enterprise Edition 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Server Standard Edition 5.1.1, 6.0, 6.0.1, 7.0 Interstage Application Server Plus 5.1.1, 7.0 Interstage Application Framework Suite Enterprise Edition 6.0, 6.0.1, 7.0.1 Interstage Application Framework Suite Standard Edition 6.0, 6.0.1, 7.0 Interstage Business Application Server Enterprise Edition 7.0
Linux	Interstage Application Server Enterprise Edition V6.0L10 Interstage Application Server Standard Edition V6.0L10 Interstage Application Framework Suite Enterprise Edition V6.0L10 Interstage Application Framework Suite Standard Edition V6.0L10

該当システム：

PRIMEPOWER, GP7000F, GP-S, PRIMERGY, GP5000, CELSIUS, FMV, AT互換機, 他社Sun互換機

システムへの影響：

フィッシング詐欺などの攻撃の踏み台に利用される可能性があります。

一時的な回避方法：

ありません。

パッチ：

V6系製品に対する修正パッチは、「5.パッチ情報」を参照下さい。
V7系製品に対する修正パッチは、「5.パッチ情報」を参照下さい。
V5系製品のシングル・サインオン機能をご利用のお客様は、弊社SEにお問い合わせください。

1. 背景

Interstageアプリケーションサーバのシングル・サインオン機能において脆弱性があり、攻撃者により、利用者が他のサイトへ導かれる可能性があります。
このため、フィッシング詐欺などの攻撃の踏み台に利用される可能性があります。

富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

Interstage製品については、以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/

2. 該当システムの範囲

該当コマンド/ファイル	製品名	対象OS
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Server Enterprise Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Server Standard Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B, V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B, V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Server Plus Developer V5.0L20, V6.0L10, V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Apworks Enterprise Edition V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Apworks Standard Edition V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A, V7.0L10	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B	Windows
F3FMssoatcag.dll F3FMssomsg.dll F3FMssoutils.dll	Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B, V7.0L10	Windows
ssoatcag.so libssoutils.so	Interstage Application Server Enterprise Edition 5.1.1, 6.0, 6.0.1, 7.0	Solaris
ssoatcag.so libssoutils.so	Interstage Application Server Standard Edition 5.1.1, 6.0, 6.0.1, 7.0	Solaris
ssoatcag.so libssoutils.so	Interstage Application Server Plus 5.1.1, 7.0	Solaris
ssoatcag.so libssoutils.so	Interstage Application Framework Suite Enterprise Edition 6.0, 6.0.1, 7.0.1	Solaris
ssoatcag.so libssoutils.so	Interstage Application Framework Suite Standard Edition 6.0, 6.0.1, 7.0	Solaris
ssoatcag.so libssoutils.so	Interstage Business Application Server Enterprise Edition 7.0	Solaris
ssoatcag.so libssoutils.so	Interstage Application Server Enterprise Edition V6.0L10	Linux
ssoatcag.so libssoutils.so	Interstage Application Server Standard Edition V6.0L10	Linux
ssoatcag.so libssoutils.so	Interstage Application Framework Suite Enterprise Edition V6.0L10	Linux
ssoatcag.so libssoutils.so	Interstage Application Framework Suite Standard Edition V6.0L10	Linux

3. 発見されている問題点

4. 一時的な回避方法

ありません。

5. パッチ情報

製品名	対象OS	パッケージ名	Patch ID
Interstage Application Server Enterprise Edition V6.0L10	Windows	F3FMsso	TP17489
Interstage Application Server Standard Edition V6.0L10	Windows	F3FMsso	TP17489
Interstage Application Server Plus V6.0L10	Windows	F3FMsso	TP07489
Interstage Application Server Plus Developer V6.0L10	Windows	F3FMsso	TP07489
Interstage Application Server Plus V6.0L10A	Windows	F3FMsso	TP07489
Interstage Application Server Enterprise Edition V6.0L10B	Windows	F3FMsso	TP27489
Interstage Application Server Standard Edition V6.0L10B	Windows	F3FMsso	TP27489
Interstage Application Server Plus V6.0L10B	Windows	F3FMsso	TP07489
Interstage Application Server Enterprise Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Application Server Standard Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Application Server Plus V7.0L10	Windows	F3FMsso	TP37489
Interstage Application Server Plus Developer V7.0L10	Windows	F3FMsso	TP37489
Interstage Apworks Modelers-J Edition V6.0L10	Windows	F3FMsso	TP07489
Interstage Apworks Modelers-J Edition V6.0L10A	Windows	F3FMsso	TP07489
Interstage Apworks Enterprise Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Apworks Standard Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Apworks Modelers-J Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Application Framework Suite Enterprise Edition V6.0L10	Windows	F3FMsso	TP17489
Interstage Application Framework Suite Standard Edition V6.0L10	Windows	F3FMsso	TP17489
Interstage Application Framework Suite Enterprise Edition V6.0L10B	Windows	F3FMsso	TP27489
Interstage Application Framework Suite Standard Edition V6.0L10B	Windows	F3FMsso	TP27489
Interstage Application Framework Suite Standard Edition V7.0L10	Windows	F3FMsso	TP37489
Interstage Application Server Enterprise Edition 6.0	Solaris	FJSVssoac	T009ES-02
Interstage Application Server Enterprise Edition 6.0	Solaris	FJSVssocm	T009FS-02
Interstage Application Server Standard Edition 6.0	Solaris	FJSVssoac	T009ES-02
Interstage Application Server Standard Edition 6.0	Solaris	FJSVssocm	T009FS-02
Interstage Application Server Enterprise Edition 6.0.1	Solaris	FJSVssoac	T013LS-01
Interstage Application Server Enterprise Edition 6.0.1	Solaris	FJSVssocm	T013MS-01
Interstage Application Server Standard Edition 6.0.1	Solaris	FJSVssoac	T013LS-01
Interstage Application Server Standard Edition 6.0.1	Solaris	FJSVssocm	T013MS-01
Interstage Application Server Enterprise Edition 7.0	Solaris	FJSVssoac	T013NS-02
Interstage Application Server Enterprise Edition 7.0	Solaris	FJSVssocm	T013PS-02
Interstage Application Server Standard Edition 7.0	Solaris	FJSVssoac	T013NS-02
Interstage Application Server Standard Edition 7.0	Solaris	FJSVssocm	T013PS-02
Interstage Application Server Plus 7.0	Solaris	FJSVssoac	T013NS-02
Interstage Application Server Plus 7.0	Solaris	FJSVssocm	T013PS-02
Interstage Application Framework Suite Enterprise Edition 6.0	Solaris	FJSVssoac	T009ES-02
Interstage Application Framework Suite Enterprise Edition 6.0	Solaris	FJSVssocm	T009FS-02
Interstage Application Framework Suite Standard Edition 6.0	Solaris	FJSVssoac	T009ES-02
Interstage Application Framework Suite Standard Edition 6.0	Solaris	FJSVssocm	T009FS-02
Interstage Application Framework Suite Enterprise Edition 6.0.1	Solaris	FJSVssoac	T013LS-01
Interstage Application Framework Suite Enterprise Edition 6.0.1	Solaris	FJSVssocm	T013MS-01
Interstage Application Framework Suite Standard Edition 6.0.1	Solaris	FJSVssoac	T013LS-01
Interstage Application Framework Suite Standard Edition 6.0.1	Solaris	FJSVssocm	T013MS-01
Interstage Application Framework Suite Standard Edition 7.0	Solaris	FJSVssoac	T013NS-02
Interstage Application Framework Suite Standard Edition 7.0	Solaris	FJSVssocm	T013PS-02
Interstage Application Framework Suite Enterprise Edition 7.0.1	Solaris	FJSVssoac	T013NS-02
Interstage Application Framework Suite Enterprise Edition 7.0.1	Solaris	FJSVssocm	T013PS-02
Interstage Business Application Server Enterprise Edition 7.0	Solaris	FJSVssoac	T013NS-02
Interstage Business Application Server Enterprise Edition 7.0	Solaris	FJSVssocm	T013PS-02
Interstage Application Server Enterprise Edition V6.0L10	Linux	FJSVssoac	T00546-01
Interstage Application Server Enterprise Edition V6.0L10	Linux	FJSVssocm	T00547-01
Interstage Application Server Standard Edition V6.0L10	Linux	FJSVssoac	T00546-01
Interstage Application Server Standard Edition V6.0L10	Linux	FJSVssocm	T00547-01
Interstage Application Framework Suite Enterprise Edition V6.0L10	Linux	FJSVssoac	T00546-01
Interstage Application Framework Suite Enterprise Edition V6.0L10	Linux	FJSVssocm	T00547-01
Interstage Application Framework Suite Standard Edition V6.0L10	Linux	FJSVssoac	T00546-01
Interstage Application Framework Suite Standard Edition V6.0L10	Linux	FJSVssocm	T00547-01

V5系製品のシングル・サインオン機能をご利用のお客様は、弊社SEにお問い合わせください。
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。

6. 改版履歴

2005年9月29日該当製品／該当システムの範囲／パッチ情報に、以下の製品を追加
Interstage Application Framework Suite Enterprise Edition 7.0.1
Interstage Business Application Server Enterprise Edition 7.0
パッチ情報にて、以下のPatch IDを変更
T013NS-01 → T013NS-02
T013PS-01 → T013PS-02
2005年6月23日該当システムに「FMR」を削除し「AT互換機」、「他社Sun互換機」を追加
V7系製品向けマニュアルの暫定公開先URLの記事を削除
2005年4月15日 V7系製品向けのパッチ情報を記載
2005年4月6日新規掲載