Interstage HTTP Server: クロスサイトスクリプティングの問題(CVE-2008-2939) (2008年12月25日)
1.脆弱性の説明
Interstage HTTP Serverのプロキシ機能において、クロスサイトスクリプティング脆弱性の問題図 が確認されました。本脆弱性問題は、CVE-2008-2939に該当します。
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様に お願いします。
Interstage製品については以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 脆弱性のもたらす脅威
攻撃者は悪意のあるスクリプトを潜り込ませることにより、被害者のアカウント乗っ取りやユー ザ設定の変更、クッキーの盗用や改竄、不正な広告の表示などが可能となります。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST, SPARC Enterprise
3-2.該当製品・対策Patch
注意)後述する回避方法は、製品ごとに設定内容が異なるものがあります。製品名末尾の括弧内記載記号は、回避方法の設定内容に対応しています。
・Interstage Application Server
・Interstage Web Server
・Interstage Studio
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Application Server Enterprise Edition V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Interstage Application Server Enterprise Edition V9.0.0 [b] | Solaris | FJSVihs | T001004SP-04 |
Interstage Application Server Standard-J Edition V9.0.0 [b] | Solaris | FJSVihs | T001004SP-04 |
Interstage Application Server Enterprise Edition V9.1.0 [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Application Server Enterprise Edition V9.1.0A [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Application Server Standard-J Edition V9.1.0A [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Application Server Enterprise Edition V9.0.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Application Server Enterprise Edition V9.0.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Application Server Enterprise Edition V9.0.1 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Application Server Enterprise Edition V9.0.1 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Application Server Standard-J Edition V9.0.1 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Application Server Standard-J Edition V9.0.1 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Application Server Enterprise Edition V9.1.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-01 |
Interstage Application Server Enterprise Edition V9.1.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-01 |
Interstage Application Server Enterprise Edition V9.0.0 [b] | RHEL-AS4(IPF) | FJSVihs | T001002QP-02 |
Interstage Application Server Enterprise Edition V9.0.0 [b] | RHEL5(IPF) | FJSVihs | T001043QP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [b] | RHEL-AS4(IPF) | FJSVihs | T001002QP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [b] | RHEL5(IPF) | FJSVihs | T001043QP-02 |
Interstage Application Server Enterprise Edition V9.1.0 [b] | RHEL-AS4(IPF) | FJSVihs | T002178QP-01 |
Interstage Application Server Enterprise Edition V9.1.0 [b] | RHEL5(IPF) | FJSVihs | T002179QP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [b] | RHEL-AS4(IPF) | FJSVihs | T002178QP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [b] | RHEL5(IPF) | FJSVihs | T002179QP-01 |
Interstage Application Server Enterprise Edition V9.0.0 [a] | Windows(IPF) | F3FMihs | T001005IP-02 |
Interstage Application Server Standard-J Edition V9.0.0 [a] | Windows(IPF) | F3FMihs | T001005IP-02 |
Interstage Application Server Enterprise Edition V9.1.0 [a] | Windows(IPF) | F3FMihs | T002175IP-01 |
Interstage Application Server Standard-J Edition V9.1.0 [a] | Windows(IPF) | F3FMihs | T002175IP-01 |
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Web Server V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Web Server V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Interstage Web Server V9.0.0 [b] | Solaris | FJSVihs | T001004SP-04 |
Interstage Web Server V9.1.0 [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Web Server V9.1.0A [b] | Solaris | FJSVihs | T002180SP-01 |
Interstage Web Server V9.0.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Web Server V9.0.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Web Server V9.0.1 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-02 |
Interstage Web Server V9.0.1 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-02 |
Interstage Web Server V9.1.0 [b] | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-01 |
Interstage Web Server V9.1.0 [b] | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-01 |
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Studio Enterprise Edition V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Standard-J Edition V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio with UML Modeling Tool V9.0.0 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Enterprise Edition V9.0.0A [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Standard-J Edition V9.0.0A [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Enterprise Edition V9.0.1 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Standard-J Edition V9.0.1 [a] | Windows | F3FMihs | T001001WP-02 |
Interstage Studio Enterprise Edition V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Interstage Studio Standard-J Edition V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Interstage Studio with UML Modeling Tool V9.1.0 [a] | Windows | F3FMihs | T002174WP-01 |
Patch IDの表記のみの製品に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付の「ソフトウェア説明書」を参照してください。
3-3. 回避方法
環境定義ファイル(httpd.conf)において、下記ディレクティブを削除するか、または 先頭にハッシュマーク(#)を追加してコメント行にすることで、プロキシ機能を無効に してください。定義編集後はWebサーバを再起動してください。
- 製品[a]の場合
#LoadModule proxy_ftp_module "C:/Interstage/F3FMihs/modules/mod_proxy_ftp.so" - 製品[b]の場合
#LoadModule proxy_ftp_module "/opt/FJSVihs/modules/mod_proxy_ftp.so"
4. 関連情報
- CVE-2008-2939
Cross-site scripting (XSS) vulnerability in proxy_ftp.c in the mod_proxy_ftp module in Apache 2.0.63 and earlier, and mod_proxy_ftp.c in the mod_proxy_ftp module in Apache 2.2.9 and earlier 2.2 versions, allows remote attackers to inject arbitrary web script or HTML via a wildcard in the last directory component in the pathname in an FTP URI.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2939
5. 改版履歴
- 2008年12月25日 新規掲載