Interstage HTTP Server: クロスサイトスクリプティングの問題(CVE-2008-2939) (2008年12月25日)


本セキュリティサイトについてのご注意

1.脆弱性の説明

Interstage HTTP Serverのプロキシ機能において、クロスサイトスクリプティング脆弱性の問題図 が確認されました。本脆弱性問題は、CVE-2008-2939に該当します。

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様に お願いします。

Interstage製品については以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/

2. 脆弱性のもたらす脅威

攻撃者は悪意のあるスクリプトを潜り込ませることにより、被害者のアカウント乗っ取りやユー ザ設定の変更、クッキーの盗用や改竄、不正な広告の表示などが可能となります。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST, SPARC Enterprise

3-2.該当製品・対策Patch

注意)後述する回避方法は、製品ごとに設定内容が異なるものがあります。製品名末尾の括弧内記載記号は、回避方法の設定内容に対応しています。

Interstage Application Server
Interstage Web Server
Interstage Studio

Interstage Application Server
製品名対象OSパッケージ名Patch ID
Interstage Application Server Enterprise Edition V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Application Server Standard-J Edition V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Application Server Enterprise Edition V9.1.0 [a]WindowsF3FMihsT002174WP-01
Interstage Application Server Standard-J Edition V9.1.0 [a]WindowsF3FMihsT002174WP-01
Interstage Application Server Enterprise Edition V9.0.0 [b]SolarisFJSVihsT001004SP-04
Interstage Application Server Standard-J Edition V9.0.0 [b]SolarisFJSVihsT001004SP-04
Interstage Application Server Enterprise Edition V9.1.0 [b]SolarisFJSVihsT002180SP-01
Interstage Application Server Standard-J Edition V9.1.0 [b]SolarisFJSVihsT002180SP-01
Interstage Application Server Enterprise Edition V9.1.0A [b]SolarisFJSVihsT002180SP-01
Interstage Application Server Standard-J Edition V9.1.0A [b]SolarisFJSVihsT002180SP-01
Interstage Application Server Enterprise Edition V9.0.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Application Server Enterprise Edition V9.0.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Application Server Standard-J Edition V9.0.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Application Server Standard-J Edition V9.0.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Application Server Enterprise Edition V9.0.1 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Application Server Enterprise Edition V9.0.1 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Application Server Standard-J Edition V9.0.1 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Application Server Standard-J Edition V9.0.1 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Application Server Enterprise Edition V9.1.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT002176LP-01
Interstage Application Server Enterprise Edition V9.1.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT002177LP-01
Interstage Application Server Standard-J Edition V9.1.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT002176LP-01
Interstage Application Server Standard-J Edition V9.1.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT002177LP-01
Interstage Application Server Enterprise Edition V9.0.0 [b]RHEL-AS4(IPF)FJSVihsT001002QP-02
Interstage Application Server Enterprise Edition V9.0.0 [b]RHEL5(IPF)FJSVihsT001043QP-02
Interstage Application Server Standard-J Edition V9.0.0 [b]RHEL-AS4(IPF)FJSVihsT001002QP-02
Interstage Application Server Standard-J Edition V9.0.0 [b]RHEL5(IPF)FJSVihsT001043QP-02
Interstage Application Server Enterprise Edition V9.1.0 [b]RHEL-AS4(IPF)FJSVihsT002178QP-01
Interstage Application Server Enterprise Edition V9.1.0 [b]RHEL5(IPF)FJSVihsT002179QP-01
Interstage Application Server Standard-J Edition V9.1.0 [b]RHEL-AS4(IPF)FJSVihsT002178QP-01
Interstage Application Server Standard-J Edition V9.1.0 [b]RHEL5(IPF)FJSVihsT002179QP-01
Interstage Application Server Enterprise Edition V9.0.0 [a]Windows(IPF)F3FMihsT001005IP-02
Interstage Application Server Standard-J Edition V9.0.0 [a]Windows(IPF)F3FMihsT001005IP-02
Interstage Application Server Enterprise Edition V9.1.0 [a]Windows(IPF)F3FMihsT002175IP-01
Interstage Application Server Standard-J Edition V9.1.0 [a]Windows(IPF)F3FMihsT002175IP-01
Interstage Web Server
製品名対象OSパッケージ名Patch ID
Interstage Web Server V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Web Server V9.1.0 [a]WindowsF3FMihsT002174WP-01
Interstage Web Server V9.0.0 [b]SolarisFJSVihsT001004SP-04
Interstage Web Server V9.1.0 [b]SolarisFJSVihsT002180SP-01
Interstage Web Server V9.1.0A [b]SolarisFJSVihsT002180SP-01
Interstage Web Server V9.0.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Web Server V9.0.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Web Server V9.0.1 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT001003LP-02
Interstage Web Server V9.0.1 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT001044LP-02
Interstage Web Server V9.1.0 [b]RHEL-AS4(x86)/ AS4(EM64T)FJSVihsT002176LP-01
Interstage Web Server V9.1.0 [b]RHEL5(x86)/ RHEL5(Intel64)FJSVihsT002177LP-01
Interstage Studio
製品名対象OSパッケージ名Patch ID
Interstage Studio Enterprise Edition V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Studio Standard-J Edition V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Studio with UML Modeling Tool V9.0.0 [a]WindowsF3FMihsT001001WP-02
Interstage Studio Enterprise Edition V9.0.0A [a]WindowsF3FMihsT001001WP-02
Interstage Studio Standard-J Edition V9.0.0A [a]WindowsF3FMihsT001001WP-02
Interstage Studio Enterprise Edition V9.0.1 [a]WindowsF3FMihsT001001WP-02
Interstage Studio Standard-J Edition V9.0.1 [a]WindowsF3FMihsT001001WP-02
Interstage Studio Enterprise Edition V9.1.0 [a]WindowsF3FMihsT002174WP-01
Interstage Studio Standard-J Edition V9.1.0 [a]WindowsF3FMihsT002174WP-01
Interstage Studio with UML Modeling Tool V9.1.0 [a]WindowsF3FMihsT002174WP-01

Patch IDの表記のみの製品に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

製品のバージョンを確認するには、製品に添付の「ソフトウェア説明書」を参照してください。

3-3. 回避方法

環境定義ファイル(httpd.conf)において、下記ディレクティブを削除するか、または 先頭にハッシュマーク(#)を追加してコメント行にすることで、プロキシ機能を無効に してください。定義編集後はWebサーバを再起動してください。

  • 製品[a]の場合
    #LoadModule proxy_ftp_module "C:/Interstage/F3FMihs/modules/mod_proxy_ftp.so"
  • 製品[b]の場合
    #LoadModule proxy_ftp_module "/opt/FJSVihs/modules/mod_proxy_ftp.so"

4. 関連情報

  • CVE-2008-2939
    Cross-site scripting (XSS) vulnerability in proxy_ftp.c in the mod_proxy_ftp module in Apache 2.0.63 and earlier, and mod_proxy_ftp.c in the mod_proxy_ftp module in Apache 2.2.9 and earlier 2.2 versions, allows remote attackers to inject arbitrary web script or HTML via a wildcard in the last directory component in the pathname in an FTP URI.
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2939

5. 改版履歴

  • 2008年12月25日 新規掲載

ページの先頭へ