GTM-MML4VXJ
Skip to main content

Interstage Application Server: リクエスト処理に関する脆弱性 (2010年5月17日)


本セキュリティサイトについてのご注意

1.脆弱性の説明

Interstage Application Serverに含まれるServletサービスに、特定のリクエストが適切に処理されない脆弱性が存在します。

富士通は、「3. 該当システム・対策情報」にセキュリティパッチ、回避方法を提供していますので、早急に適用する様にお願いします。

Interstage製品については以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/

2. 脆弱性のもたらす脅威

具体的な現象は、Webアプリケーションの実装に依存します。例えば、以下のような現象が発生する可能性があります。

  • 例1) 不正なリクエスト処理の実行
  • 例2) 他のユーザの情報の参照

Interstage List Manager製品の場合は、帳票一覧画面、論理あて先一覧画面、帳票ブラウザ画面で、以下のような影響が考えられます。

  • 例3) ログインしたユーザとは別のユーザ資格での画面操作の実行
  • 例4) 画面操作での内部エラーの発生

本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機

3-2.該当製品・対策Patch

  • Interstage Application Server系 V3, V4, V5, V6, V7
    • Interstage Application Server Enterprise Edition
    • Interstage Application Server Standard Edition
    • Interstage Application Server Web Edition
    • Interstage Application Server Web-J Edition
    • Interstage Application Server Plus
  • Interstage Application Server系を内包しているミドルウェア製品
    • Interstage Application Framework Suite Enterprise Edition
    • Interstage Application Framework Suite Standard Edition
    • Interstage Application Framework Suite Web Edtion
    • Interstage List Manager Enterprise Edition(注1) V8

注1) Interstage List Manager製品をご利用の場合は、それぞれ対応するInterstage Application Serverの修正を適用願います。

補足) 以下の製品では、カスタムインストールにより旧バージョン互換機能(バージョン5系までに提供していたServletサービス)を選択された場合にのみ該当します。標準インストールなどにより標準機能のServletサービスをご利用の場合には本問題は発生しません。

  • Interstage Application Framework Suite V6系, V7系
  • Interstage Application Server V6系, V7系
  • Interstage List Manager Enterprise Edition V8

本件に関するパッチ情報など詳細情報は、以下の公開情報をご覧ください。
掲載番号:FS-10-001 「Interstage Application Server等の修正パッチ」
http://eservice.fujitsu.com/tech_info/FS-10-001/IAS.html

参考: 該当製品の確認方法

  • V3からV6系の場合
    • Solaris版の場合
      FJSVisasパッケージのパッケージ情報を確認します。
        pkginfo -l FJSVisas
    • Windows版の場合
      [ソフトウェア説明書]の表題を確認します。
        [スタートボタン]
          →[プログラム]
            →[Interstage]
              →[Application Server | Application Framework Suite]
                →[ソフトウェア説明書]
    • Linux版の場合
      FJSVisasパッケージのパッケージ情報を確認します。
        rpm -q FJSVisas
  • V7系以降の場合
    isprintvlコマンドで確認します。
      isprintvl

3-3. 回避方法

負荷分散装置からの振り分け開始時刻をサーバ毎に5分以上ずらしてください。

4. 関連情報

本問題は、Interstage Application Serverの脆弱性 JVN#90248889に該当します。

5. 改版履歴

  • 2010年5月17日 新規掲載