Interstage Application ServerにおけるWebアプリケーションのルートパス開示の脆弱性について (2007年10月9日)
1.背景と問題点
Tomcat 4.1ベースのServletサービスにおいて、Webアプリケーションのルートパス開示の脆弱性が確認されました。
本脆弱性を利用すると、リモートの攻撃者のリクエストに対し、Webアプリケーションのルートパス(ドキュメントルートの物理パス)を含むエラーページが返却される可能性があります。
富士通は、2.に回避方法を示していますので、早急に対応願います。
Interstage製品については以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 回避方法
IJServerワークユニットの環境設定において、下記JavaVMオプション(注1)を追加してください。
-Dsun.io.useCanonCaches=false
(注1)以下の入力フォームに指定します。
- Interstage管理コンソール
- Interstage Application Server
- システム
- ワークユニット
- [ワークユニット(IJServer)名]
- 環境設定
- ワークユニット設定
- JavaVMオプション
なお、当社では本脆弱性をTomcat 4.1ベースのServletサービスの問題として認識しておりますが、JavaVMオプションの設定有無による問題であるため、次期バージョンでの修正を予定しております。
3. 該当システム・パッチ情報
該当システム
PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST
・Interstage Application Framework Suite
・Interstage Application Server
・Interstage Apworks/Studio
・Interstage Business Application Server
・Interstage Web Server
| 製品名 | 対象OS | パッケージ名 |
|---|---|---|
| Interstage Application Framework Suite Standard Edition V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Framework Suite Standard Edition V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Framework Suite Web Edition V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Framework Suite Web Edition V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| 製品名 | 対象OS | パッケージ名 |
|---|---|---|
| Interstage Application Server Enterprise Edition V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Enterprise Edition V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Enterprise Edition 8.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Enterprise Edition 8.0.1 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Enterprise Edition 8.0.3 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Enterprise Edition V9.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard Edition V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard Edition V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard-J Edition 8.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard-J Edition 8.0.1 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard-J Edition 8.0.3 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Standard-J Edition V9.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition V7.0L10A | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition 8.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition 8.0.1 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Web-J Edition 8.0.3 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Plus V7.0L10 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Plus V7.0L11 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Application Server Plus Developer V7.0L10 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Application Server Enterprise Edition 8.0.0 | Windows Server 2003(IPF) | FJSVj2ee |
| Interstage Application Server Enterprise Edition 8.0.3 | Windows Server 2003(IPF) | FJSVj2ee |
| Interstage Application Server Enterprise Edition V9.0.0 | Windows Server 2003(IPF) | FJSVj2ee |
| Interstage Application Server Standard-J Edition V9.0.0 | Windows Server 2003(IPF) | FJSVj2ee |
| 製品名 | 対象OS | パッケージ名 |
|---|---|---|
| Interstage Apworks Enterprise Edition V7.0L10 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Apworks Enterprise Edition 8.0.0 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Apworks Enterprise Edition 8.1.0 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Apworks Standard Edition V7.0L10 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Apworks Standard-J Edition 8.0.1 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Apworks Modelers-J Edition V7.0L10 | Windows Server 2003/ Windows 2000/ Windows XP | FJSVj2ee |
| Interstage Studio Enterprise Edition V9.0.0 | Windows Server 2003/ Windows 2000/ Windows XP/ Windows Vista | FJSVj2ee |
| Interstage Studio Enterprise Edition V9.0.0A | Windows Server 2003/ Windows 2000/ Windows XP/ Windows Vista | FJSVj2ee |
| Interstage Studio Standard-J Edition V9.0.0 | Windows Server 2003/ Windows 2000/ Windows XP/ Windows Vista | FJSVj2ee |
| Interstage Studio Standard-J Edition V9.0.0A | Windows Server 2003/ Windows 2000/ Windows XP/ Windows Vista | FJSVj2ee |
| Interstage Studio with UML Modeling Tool V9.0.0 | Windows Server 2003/ Windows 2000/ Windows XP/ Windows Vista | FJSVj2ee |
| 製品名 | 対象OS | パッケージ名 |
|---|---|---|
| Interstage Business Application Server Standard Edition 8.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| Interstage Business Application Server Standard Edition 8.0.1 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
| 製品名 | 対象OS | パッケージ名 |
|---|---|---|
| Interstage Web Server V9.0.0 | Windows Server 2003/ Windows 2000 | FJSVj2ee |
(注2)パッチ情報につきましては、「2. 回避方法」を参照願います。
4. 改版履歴
- 2007年10月9日 新規掲載
