Interstage HTTP Server: 4件のセキュリティ脆弱性(CVE-2009-1891/ CVE-2009-2412/ CVE-2010-1623/ CVE-2010-1452) (2011年9月22日)
1. 脆弱性の説明
Interstage Application Server、Interstage Studio、Interstage Web Server において、下記 のセキュリティに関する脆弱性を抱えていることが確認されました。
- Interstage HTTP Serverのコンテンツ圧縮機能において、サービス運用妨害(DoS)となる脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2009-1891に該当します。 - Interstage HTTP Serverにおいて、サービス運用妨害(DoS)、およびWebサーバ上で任意のコードが実行される脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2009-2412に該当します。 - Interstage HTTP Serverのリクエスト処理において、サービス運用妨害(DoS)となる脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2010-1623に該当します。 - Interstage HTTP ServerのWebDAV機能において、サービス運用妨害(DoS)となる脆弱性の問題が確認されました。
本脆弱性問題は、CVE-2010-1452に該当します。
Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
- リモートの攻撃者から細工されたリクエストが送信されることにより、Webサーバ上のCPUを大量に消費し、サービス運用妨害(DoS)となる可能性があります。
- 悪意ある第三者により、サービス運用妨害(DoS)や、Webサーバ上で任意のコードが実行される可能性があります。
- リモートの攻撃者から細工されたリクエストが送信されることにより、Webサーバ上でメモリリークが発生し、サービス運用妨害(DoS)となる可能性があります。
- リモートの攻撃者から細工されたリクエストが送信されることにより、サービス運用妨害(DoS)となる可能性があります。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, AT互換機, PRIMEQUEST, SPARC Enterprise
3-2.該当製品・対策Patch
・Interstage Application Server
・Interstage Studio
・Interstage Web Server
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-06 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-04 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.2.0/ V9.2.0A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004344WP-03 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.3.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004726WP-02 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.0.0/ V9.0.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-06 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-04 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.2.0/ V9.2.0A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | F3FMihs | T004344WP-03 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.0.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2 | F3FMihs | T001005IP-05 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.1.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2/ Windows(IPF) Server 2008 | F3FMihs | T002175IP-04 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.2.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2/ Windows(IPF) Server 2008 | F3FMihs | T004345IP-03 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.0.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2 | F3FMihs | T001005IP-05 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.1.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2/ Windows(IPF) Server 2008 | F3FMihs | T002175IP-04 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.2.0 | Windows(IPF) Server 2003/ Windows(IPF) Server 2003 R2/ Windows(IPF) Server 2008 | F3FMihs | T004345IP-03 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.2.0 | Windows(EM64T) Server 2003/ Windows(EM64T) Server 2003 R2/ Windows(EM64T) Server 2008/ Windows(EM64T) Server 2008 R2 | F3FMihs | T004346XP-03 |
| Interstage Application Server Enterprise Edition [※1 ※2] | V9.3.0 | Windows(EM64T) Server 2003/ Windows(EM64T) Server 2003 R2/ Windows(EM64T) Server 2008/ Windows(EM64T) Server 2008 R2 | F3FMihs | T005232XP-01 |
| Interstage Application Server Standard-J Edition [※1 ※2] | V9.2.0 | Windows(EM64T) Server 2003/ Windows(EM64T) Server 2003 R2/ Windows(EM64T) Server 2008/ Windows(EM64T) Server 2008 R2 | F3FMihs | T004346XP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.0.0/ V9.0.0B | Solaris 9/ 10 | FJSVihs | T001004SP-07 |
| Interstage Application Server Enterprise Edition [※1] | V9.1.0/ V9.1.0A/ V9.1.0B | Solaris 9/ 10 | FJSVihs | T002180SP-05 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | Solaris 9/ 10 | FJSVihs | T004343SP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.3.0 | Solaris 9/ 10 | FJSVihs | T005233SP-01 |
| Interstage Application Server Standard-J Edition [※1] | V9.0.0 | Solaris 9/ 10 | FJSVihs | T001004SP-07 |
| Interstage Application Server Standard-J Edition [※1] | V9.1.0/ V9.1.0A/ V9.1.0B | Solaris 9/ 10 | FJSVihs | T002180SP-05 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0/ V9.2.0A | Solaris 9/ 10 | FJSVihs | T004343SP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.0.0/ V9.0.0B/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-05 |
| Interstage Application Server Enterprise Edition [※1] | V9.1.0/ V9.1.0B | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-04 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T004338LP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.3.0/ V9.3.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T005234LP-01 |
| Interstage Application Server Standard-J Edition [※1] | V9.0.0/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-05 |
| Interstage Application Server Standard-J Edition [※1] | V9.1.0/ V9.1.0B | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-04 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0/ V9.3.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T004338LP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.0.0/ V9.0.1/ V9.0.1B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-05 |
| Interstage Application Server Enterprise Edition [※1] | V9.1.0/ V9.1.0B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-04 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T004339LP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.3.0/ V9.3.1 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T005235LP-01 |
| Interstage Application Server Standard-J Edition [※1] | V9.0.0/ V9.0.0B/ V9.0.1/ V9.0.1B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-05 |
| Interstage Application Server Standard-J Edition [※1] | V9.1.0/ V9.1.0B | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-04 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0/ V9.3.1 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T004339LP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.0.0 | RHEL-AS4(IPF) | FJSVihs | T001002QP-05 |
| Interstage Application Server Enterprise Edition [※1] | V9.1.0 | RHEL-AS4(IPF) | FJSVihs | T002178QP-04 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | RHEL-AS4(IPF) | FJSVihs | T004340QP-03 |
| Interstage Application Server Standard-J Edition [※1] | V9.0.0 | RHEL-AS4(IPF) | FJSVihs | T001002QP-05 |
| Interstage Application Server Standard-J Edition [※1] | V9.1.0 | RHEL-AS4(IPF) | FJSVihs | T002178QP-04 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0 | RHEL-AS4(IPF) | FJSVihs | T004340QP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.0.0 | RHEL5(IPF) | FJSVihs | T001043QP-05 |
| Interstage Application Server Enterprise Edition [※1] | V9.1.0 | RHEL5(IPF) | FJSVihs | T002179QP-04 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | RHEL5(IPF) | FJSVihs | T004341QP-03 |
| Interstage Application Server Standard-J Edition [※1] | V9.0.0 | RHEL5(IPF) | FJSVihs | T001043QP-05 |
| Interstage Application Server Standard-J Edition [※1] | V9.1.0 | RHEL5(IPF) | FJSVihs | T002179QP-04 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0 | RHEL5(IPF) | FJSVihs | T004341QP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.2.0 | RHEL5(Intel64) | FJSVihs | T004342LP-03 |
| Interstage Application Server Enterprise Edition [※1] | V9.3.0/ V9.3.1 | RHEL5(Intel64) | FJSVihs | T005236LP-01 |
| Interstage Application Server Standard-J Edition [※1] | V9.2.0/ V9.3.1 | RHEL5(Intel64) | FJSVihs | T004342LP-03 |
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Studio Enterprise Edition [※1 ※2] | V9.0.0/ V9.0.0A/ V9.0.1 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-06 |
| Interstage Studio Enterprise Edition [※1 ※2] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-04 |
| Interstage Studio Enterprise Edition [※1 ※2] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-03 |
| Interstage Studio Standard-J Edition [※1 ※2] | V9.0.0/ V9.0.0A/ V9.0.1/ V9.0.1A | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-06 |
| Interstage Studio Standard-J Edition [※1 ※2] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-04 |
| Interstage Studio Standard-J Edition [※1 ※2] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-03 |
| Interstage Studio with UML Modeling Tool [※1 ※2] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows XP/ Windows Vista | F3FMihs | T001001WP-06 |
| Interstage Studio with UML Modeling Tool [※1 ※2] | V9.1.0/ V9.1.0B | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows XP/ Windows Vista | F3FMihs | T002174WP-04 |
| Interstage Studio with UML Modeling Tool [※1 ※2] | V9.2.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7 | F3FMihs | T004344WP-03 |
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage Web Server [※1 ※2] | V9.0.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2 | F3FMihs | T001001WP-06 |
| Interstage Web Server [※1 ※2] | V9.1.0 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | F3FMihs | T002174WP-04 |
| Interstage Web Server [※1] | V9.0.0 | Solaris 9/ 10 | FJSVihs | T001004SP-07 |
| Interstage Web Server [※1] | V9.1.0/ V9.1.0A | Solaris 9/ 10 | FJSVihs | T002180SP-05 |
| Interstage Web Server [※1] | V9.0.0/ V9.0.1 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T001003LP-05 |
| Interstage Web Server [※1] | V9.1.0 | RHEL-AS4(x86)/ AS4(EM64T) | FJSVihs | T002176LP-04 |
| Interstage Web Server [※1] | V9.0.0/ V9.0.1 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T001044LP-05 |
| Interstage Web Server [※1] | V9.1.0 | RHEL5(x86)/ RHEL5(Intel64) | FJSVihs | T002177LP-04 |
パッチ入手に関しては、当社サポートセンターにお問い合わせください。
[※1] CVE-2009-1891/ CVE-2009-2412/ CVE-2010-1623の影響を受けます。
[※2] CVE-2010-1452の影響を受けます。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
ありません。
4. 関連情報
- CVE-2009-1891
The mod_deflate module in Apache httpd 2.2.11 and earlier compresses large files until completion even after the associated network connection is closed, which allows remote attackers to cause a denial of service (CPU consumption).
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1891
JVNDB-2009-001892
Apache httpd の mod_deflate モジュールにおけるサービス運用妨害 (DoS) の脆弱性
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-001892.html - CVE-2009-2412
Multiple integer overflows in the Apache Portable Runtime (APR) library and the Apache Portable Utility library (aka APR-util) 0.9.x and 1.3.x allow remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via vectors that trigger crafted calls to the (1) allocator_alloc or (2) apr_palloc function in memory/unix/apr_pools.c in APR; or crafted calls to the (3) apr_rmm_malloc, (4) apr_rmm_calloc, or (5) apr_rmm_realloc function in misc/apr_rmm.c in APR-util; leading to buffer overflows.
NOTE: some of these details are obtained from third party information.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2412
JVNDB-2009-002016
APR ライブラリおよび APR-util ライブラリにおける整数オーバーフローの脆弱性
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-002016.html - CVE-2010-1623
Memory leak in the apr_brigade_split_line function in buckets/apr_brigade.c in the Apache Portable Runtime Utility library (aka APR-util) before 1.3.10, as used in the mod_reqtimeout module in the Apache HTTP Server and other software, allows remote attackers to cause a denial of service (memory consumption) via unspecified vectors related to the destruction of an APR bucket.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1623
JVNDB-2010-002300
Apache Portable Utility ライブラリの apr_brigade_split_line 関数におけるサービス運用妨害 (DoS) の脆弱性
http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-002300.html - CVE-2010-1452
The (1) mod_cache and (2) mod_dav modules in the Apache HTTP Server 2.2.x before 2.2.16 allow remote attackers to cause a denial of service (process crash) via a request that lacks a path.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1452
JVNDB-2010-001842
Apache HTTP Server の mod_cache および mod_dav モジュールにおけるサービス運用妨害 (DoS) の脆弱性
http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-001842.html
5. 改版履歴
- 2011年9月22日 新規掲載
