クライアントから不正なHTTPリクエストを受け付けた場合にInterstage HTTP Serverの通信プロセスが異常終了する問題 (2005年9月8日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | クライアントから不正なHTTPリクエストを受け付けた場合にInterstage HTTP Serverの通信プロセスが異常終了する問題 | ||||
| 製品提供元: | 富士通株式会社 | ||||
| 該当製品: |
| ||||
| 該当システム: | PRIMERGY, GP5000, CELSIUS, FMV | ||||
| システムへの影響: | Interstage HTTP Serverの通信プロセスが異常終了する場合があります。 | ||||
| 一時的な回避方法: | ありません。 | ||||
| パッチ: | あり。(提供範囲は「5.パッチ情報」を参照) |
1. 背景
Interstage Application Server、Interstage Apworks 及び Interstage Application Framework Suiteが提供するInterstage HTTP Ser ver (FJapache) において、1件のセキュリティに関する脆弱性の問題を抱えていることが確認されました。
この脆弱性の問題により、クライアントから不正なHTTPリクエストを受け付けた場合、Interstage HTTP Serverの通信プロセスが異常終了する場合があります。
富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 該当システムの範囲
| 該当コマンド/ファイル | 製品名 | 対象OS |
|---|---|---|
| ApacheCore.dll | Interstage Application Server Enterprise Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Server Standard Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Server Web-J Edition V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Server Plus V5.0L20, V5.0L20A, V6.0L10, V6.0L10A, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Server Plus Developer V5.0L20, V6.0L10 | Windows |
| ApacheCore.dll | Interstage Application Framework Suite Enterprise Edition V6.0L10, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Framework Suite Standard Edition V6.0L10, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Application Framework Suite Web Edition V6.0L10, V6.0L10A, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Apworks Enterprise Edition V6.0L10, V6.0L10A, V6.0L10B | Windows |
| ApacheCore.dll | Interstage Apworks Standard Edition V6.0L10, V6.0L10A | Windows |
| ApacheCore.dll | Interstage Apworks Modelers-J Edition V6.0L10, V6.0L10A | Windows |
3. 発見されている問題点
クライアントから不正なHTTPリクエストを受け付けた場合、Interstage HTTP Serverの通信プロセス(Apache.exe)が異常終了する場合があります。
他のリクエスト処理中に、本現象が発生した場合、処理中のリクエストの通信はすべて切断されます。
尚、通信プロセス異常終了後は、通信プロセスを自動生成するため、その後リクエストを受信しても正常に動作します。
4. 一時的な回避方法
ありません。5. パッチ情報
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| Interstage Application Server
Enterprise Edition V5.0L20 Standard Edition V5.0L20 Web-J Edition V5.0L20 Plus V5.0L20 Plus Developer V5.0L20 Enterprise Edition V5.0L20A Standard Edition V5.0L20A Web-J Edition V5.0L20A Plus V5.0L20A | Windows | F3FMihs | TP17822 |
| Interstage Application Server
Enterprise Edition V6.0L10 Standard Edition V6.0L10 Web-J Edition V6.0L10 Plus V6.0L10 Plus Developer V6.0L10 Web-J Edition V6.0L10A Plus V6.0L10A Enterprise Edition V6.0L10B Standard Edition V6.0L10B Web-J Edition V6.0L10B Plus V6.0L10B | Windows | F3FMihs | TP27822 |
| Interstage Application Framework Suite
Enterprise Edition V6.0L10 Standard Edition V6.0L10 Web Edition V6.0L10 Web Edition V6.0L10A Enterprise Edition V6.0L10B Standard Edition V6.0L10B Web Edition V6.0L10B | Windows | F3FMihs | TP27822 |
| Interstage Apworks
Enterprise Edition V6.0L10 Standard Edition V6.0L10 Modelers-J Edition V6.0L10 Enterprise Edition V6.0L10A Standard Edition V6.0L10A Modelers-J Edition V6.0L10A Enterprise Edition V6.0L10B | Windows | F3FMihs | TP27822 |
お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。
6. 改版履歴
- 2005年9月8日 新規掲載
