Interstage HTTP Serverにおける2件のセキュリティ脆弱性 (CVE-2009-3094/ CVE-2009-3095) (2010年12月10日)
1. 脆弱性の説明
Interstage Application Server、Interstage Studio、Interstage Web Server において、下記のセキュリティに関する脆弱性を抱えていることが確認されました。
- Interstage HTTP ServerのFTPプロキシ機能において、サービス運用妨害(DoS)となる脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2009-3094に該当します。 - Interstage HTTP ServerのFTPプロキシ機能において、任意のFTPコマンドがFTPサーバに送信される脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2009-3095に該当します。
Interstageについては以下のページを参照してください。
https://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2.脆弱性のもたらす脅威
- リモートの攻撃者から細工されたリクエストが送信されることにより、サービス運用妨害(DoS)となる可能性があります。
- リモートの攻撃者から細工されたリクエストが送信されることにより、FTPサーバ上で任意のFTPコマンドが実行される可能性があります。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST, SPARC Enterprise
3-2.該当製品・対策Patch
・Interstage Application Server
・Interstage Studio
・Interstage Web Server
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Application Server Enterprise Edition [※a ※b] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-05 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-03 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.2.0/ V9.2.0A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004344WP-02 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.3.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004726WP-01 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.0.0/ V9.0.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-05 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-03 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.2.0/ V9.2.0A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004344WP-02 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.0.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF) | F3FMihs | T001005IP-04 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.1.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF)/ Windows Server 2008(IPF) | F3FMihs | T002175IP-03 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.2.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF)/ Windows Server 2008(IPF) | F3FMihs | T004345IP-02 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.0.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF) | F3FMihs | T001005IP-04 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.1.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF)/ Windows Server 2008(IPF) | F3FMihs | T002175IP-03 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.2.0 | Windows Server 2003(IPF)/ Windows Server 2003 R2(IPF)/ Windows Server 2008(IPF) | F3FMihs | T004345IP-02 |
| Interstage Application Server Enterprise Edition [※a ※b] | V9.2.0 | Windows Server 2003(EM64T)/ Windows Server 2003 R2(EM64T)/ Windows Server 2008(EM64T)/ Windows Server 2008 R2(EM64T) | F3FMihs | T004346XP-02 |
| Interstage Application Server Standard-J Edition [※a ※b] | V9.2.0 | Windows Server 2003(EM64T)/ Windows Server 2003 R2(EM64T)/ Windows Server 2008(EM64T)/ Windows Server 2008 R2(EM64T) | F3FMihs | T004346XP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.0.0/ V9.0.0B | Solaris 9/ 10 | FJSVihs | T001004SP-06 |
| Interstage Application Server Enterprise Edition [※b] | V9.1.0/ V9.1.0A/ V9.1.0B | Solaris 9/ 10 | FJSVihs | T002180SP-04 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | Solaris 9/ 10 | FJSVihs | T004343SP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.0.0 | Solaris 9/ 10 | FJSVihs | T001004SP-06 |
| Interstage Application Server Standard-J Edition [※b] | V9.1.0/ V9.1.0A/ V9.1.0B | Solaris 9/ 10 | FJSVihs | T002180SP-04 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0/ V9.2.0A | Solaris 9/ 10 | FJSVihs | T004343SP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.0.0/ V9.0.0B/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-04 |
| Interstage Application Server Enterprise Edition [※b] | V9.1.0/ V9.1.0B | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-03 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T004338LP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.0.0/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-04 |
| Interstage Application Server Standard-J Edition [※b] | V9.1.0/ V9.1.0B | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-03 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T004338LP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.0.0/ V9.0.1/ V9.0.1B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-04 |
| Interstage Application Server Enterprise Edition [※b] | V9.1.0/ V9.1.0B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-03 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T004339LP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.0.0/ V9.0.0B/ V9.0.1/ V9.0.1B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-04 |
| Interstage Application Server Standard-J Edition [※b] | V9.1.0/ V9.1.0B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-03 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T004339LP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.0.0 | RHEL-AS4(IPF) | FJSVihs | T001002QP-04 |
| Interstage Application Server Enterprise Edition [※b] | V9.1.0 | RHEL-AS4(IPF) | FJSVihs | T002178QP-03 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | RHEL-AS4(IPF) | FJSVihs | T004340QP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.0.0 | RHEL-AS4(IPF) | FJSVihs | T001002QP-04 |
| Interstage Application Server Standard-J Edition [※b] | V9.1.0 | RHEL-AS4(IPF) | FJSVihs | T002178QP-03 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0 | RHEL-AS4(IPF) | FJSVihs | T004340QP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.0.0 | RHEL5(IPF) | FJSVihs | T001043QP-04 |
| Interstage Application Server Enterprise Edition [※b] | V9.1.0 | RHEL5(IPF) | FJSVihs | T002179QP-03 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | RHEL5(IPF) | FJSVihs | T004341QP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.0.0 | RHEL5(IPF) | FJSVihs | T001043QP-04 |
| Interstage Application Server Standard-J Edition [※b] | V9.1.0 | RHEL5(IPF) | FJSVihs | T002179QP-03 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0 | RHEL5(IPF) | FJSVihs | T004341QP-02 |
| Interstage Application Server Enterprise Edition [※b] | V9.2.0 | RHEL5(Intel64) | FJSVihs | T004342LP-02 |
| Interstage Application Server Standard-J Edition [※b] | V9.2.0 | RHEL5(Intel64) | FJSVihs | T004342LP-02 |
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Studio Enterprise Edition [※a ※b] | V9.0.0/ V9.0.0A/ V9.0.1 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-05 |
| Interstage Studio Enterprise Edition [※a ※b] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-03 |
| Interstage Studio Enterprise Edition [※a ※b] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-02 |
| Interstage Studio Standard-J Edition [※a ※b] | V9.0.0/ V9.0.0A/ V9.0.1/ V9.0.1A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-05 |
| Interstage Studio Standard-J Edition [※a ※b] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-03 |
| Interstage Studio Standard-J Edition [※a ※b] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-02 |
| Interstage Studio with UML Modeling Tool [※a ※b] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-05 |
| Interstage Studio with UML Modeling Tool [※a ※b] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-03 |
| Interstage Studio with UML Modeling Tool [※a ※b] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-02 |
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Web Server [※a ※b] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-05 |
| Interstage Web Server [※a ※b] | V9.1.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-03 |
| Interstage Web Server [※b] | V9.0.0 | Solaris 9/ 10 | FJSVihs | T001004SP-06 |
| Interstage Web Server [※b] | V9.1.0/ V9.1.0A | Solaris 9/ 10 | FJSVihs | T002180SP-04 |
| Interstage Web Server [※b] | V9.0.0/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-04 |
| Interstage Web Server [※b] | V9.1.0 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-03 |
| Interstage Web Server [※b] | V9.0.0/ V9.0.1 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-04 |
| Interstage Web Server [※b] | V9.1.0 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-03 |
[※a] CVE-2009-3094の影響を受けます。
[※b] CVE-2009-3095の影響を受けます。
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
ありません。
4. 関連情報
- CVE-2009-3094の関連情報
- CVE-2009-3094
The ap_proxy_ftp_handler function in modules/proxy/proxy_ftp.c in the mod_proxy_ftp module in the Apache HTTP Server 2.0.63 and 2.2.13 allows remote FTP servers to cause a denial of service (NULL pointer dereference and child process crash) via a malformed reply to an EPSV command.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3094 - JVNDB-2009-002187
Apache HTTP Server の ap_proxy_ftp_handler 関数におけるサービス運用妨害 (DoS)の脆弱性
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-002187.html
- CVE-2009-3094
- CVE-2009-3095の関連情報
- CVE-2009-3095
The mod_proxy_ftp module in the Apache HTTP Server allows remote attackers to bypass intended access restrictions and send arbitrary commands to an FTP server via vectors related to the embedding of these commands in the Authorization HTTP header, as demonstrated by a certain module in VulnDisco Pack Professional 8.11.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3095 - JVNDB-2009-002188
Apache HTTP Server の mod_proxy_ftp モジュールにおけるアクセス制限を回避される脆弱性
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-002188.html
- CVE-2009-3095
5. 改版履歴
- 2010年12月10日 新規掲載
