Interstage Application Server: シングル・サインオン機能におけるアクセス制御の不備 (2008年8月4日)
1. 脆弱性の説明
Interstage Application Serverのシングル・サインオン機能において、以下の条件に合致する場合に、業務サーバが起動している状態でInterstage管理コンソールを用いて、アクセス制御情報の更新を実施すると、更新情報が業務システムに反映されない場合があります。
[該当条件]
シングル・サインオン機能を組み込んだ業務サーバが、ロードバランサ、SSLアクセラレーター またはプロキシサーバ等のファイアーウォール以外の装置とつながったシステム構成になっており、業務システムの公開URLのポート番号と業務サーバのポート番号が異なる設定になっている。
Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
富士通は、3.に回避方法を示していますので、早急に対応願います。
2. 脆弱性のもたらす脅威
アクセス権限が低い保護リソースのアクセス権限を高く変更した場合に、アクセス権限が低い状態のままシステムが運用される可能性があります。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機
3-2.該当製品・対策Patch
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition V6.0L10 | Windows | F3FMsso | 発行予定なし |
Interstage Application Server Enterprise Edition V6.0L10B | Windows | F3FMsso | 発行予定なし |
Interstage Application Server Standard Edition V6.0L10 | Windows | F3FMsso | 発行予定なし |
Interstage Application Server Standard Edition V6.0L10B | Windows | F3FMsso | 発行予定なし |
Interstage Application Server Enterprise Edition V6.0L10 | Linux | FJSVssoaz | 発行予定なし |
Interstage Application Server Standard Edition V6.0L10 | Linux | FJSVssoaz | 発行予定なし |
Interstage Application Framework Suite Enterprise Editiontion V6.0L10 | Windows | F3FMsso | 発行予定なし |
Interstage Application Framework Suite Enterprise Editiontion V6.0L10B | Windows | F3FMsso | 発行予定なし |
Interstage Application Framework Suite Standard Edition V6.0L10 | Windows | F3FMsso | 発行予定なし |
Interstage Application Framework Suite Standard Edition V6.0L10B | Windows | F3FMsso | 発行予定なし |
Interstage Application Framework Suite Standard Edition V7.0L10 | Windows | F3FMsso | 発行予定なし |
Interstage Application Framework Suite Enterprise Edition V6.0L10 | Linux | FJSVssoaz | 発行予定なし |
Interstage Application Framework Suite Standard Edition V6.0L10 | Linux | FJSVssoaz | 発行予定なし |
なお、V8以降の製品は該当しません。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付の「ソフトウェア説明書」を参照してください。
3-3. 回避方法
本脆弱性は、以下の方法で影響を回避することができます。
シングル・サインオン機能を組み込んだ業務サーバを運用するWebサーバ(Interstage HTTP Server、またはMicrosoft(R) Internet Information Server 4.0、またはMicrosoft(R) Internet Information Services 5.0、またはMicrosoft(R) Internet Information Services 6.0)を再起動してください。
4. 改版履歴
- 2008年8月4日 新規掲載