Interstage Application Server: 他者情報漏えいの脆弱性について(CVE-2008-4308) (2009年2月26日)
1.脆弱性の説明
Tomcat 5.5ベースのServletサービスにおいて、情報漏えいの脆弱性が確認されました。脆弱なシステムで稼動しているWebアプリケーションへのPOSTリクエストの内容が、第三者に漏えいする可能性があります。
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様に お願いします。
Interstage製品については以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 脆弱性のもたらす脅威
遠隔の第三者に対し、別のユーザのリクエストデータに含まれるパスワード、セションID、ユーザID等の情報が漏えいする可能性があります。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機
3-2.該当製品・対策Patch
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Application Server Enterprise Edition V9.0.0 | Windows Server 2003, 2000 Server | F3FMjs5 | T001574WP-03 |
Interstage Application Server Standard-J Edition V9.0.0 | Windows Server 2003, 2000 Server | F3FMjs5 | T001574WP-03 |
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Business Application Server Standard Edition V9.0.0 | Windows Server 2003, 2000 Server | F3FMjs5 | T001574WP-03 |
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Studio Enterprise Edition V9.0.0 | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio Standard-J Edition V9.0.0 | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio Enterprise Edition V9.0.0A | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio Standard-J Edition V9.0.0A | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio Enterprise Edition V9.0.1 | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio Standard-J Edition V9.0.1 | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
Interstage Studio with UML Modeling Tool V9.0.0 | Windows Server 2003, 2000 Server, XP, Vista | F3FMjs5 | T001574WP-03 |
製品名 | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|
Interstage Web Server V9.0.0 | Windows Server 2003, 2000 Server | F3FMjs5 | T001574WP-03 |
Patchの入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
該当製品の確認方法は製品およびVLによって異なります。
ご使用の製品のソフトウェアガイドやマニュアルを確認願います。
3-3. 回避方法
ありません。
4. 関連情報
本問題は、Apache Tomcatの脆弱性 JVN#66905322/CVE-2008-4308に該当します。
- JVN#66905322: Apache Tomcat における情報漏えいの脆弱性
http://jvn.jp/jp/JVN66905322/index.html - CVE-2008-4308: Tomcat information disclosure vulnerability
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4308
5. 改版履歴
- 2009年2月26日 新規掲載