Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050) (2014年3月25日)
1. 脆弱性の説明
Java EE 6のサーブレットのファイルアップロード機能において、サービス運用妨害(DoS)の脆弱性が確認されました。(CVE-2014-0050)
Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/
2. 脆弱性のもたらす脅威
Java EE 6のWebコンテナで、Servlet 3.0で追加されたファイルアップロード機能を使用している場合、リモートの攻撃者から細工されたリクエストが送信されることにより、 Java EE 6を運用しているサーバのCPUを大量に消費し、サービス運用妨害(DoS)となる可能性があります。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC M10, その他(AT互換機)
3-2.該当製品・対策Patch
・Interstage Application Server
・Interstage Studio
・Interstage Web Server Express
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Application Server Enterprise Edition | V10.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011 | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.0.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V10.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011 | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.0.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V11.0.0 | Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V11.0.0 | Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V10.1.0 | Solaris 9/ 10/ 11 | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.0.0 | Solaris 10/ 11 | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | Solaris 10/ 11 | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V10.1.0 | Solaris 9/ 10/ 11 | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.0.0 | Solaris 10/ 11 | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | Solaris 10/ 11 | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V11.0.0 | RHEL5(x86)/ RHEL5(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | RHEL5(x86)/ RHEL5(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V11.0.0 | RHEL5(x86)/ RHEL5(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | RHEL5(x86)/ RHEL5(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V11.0.0 | RHEL6(x86)/ RHEL6(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | RHEL6(x86)/ RHEL6(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V11.0.0 | RHEL6(x86)/ RHEL6(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | RHEL6(x86)/ RHEL6(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V11.0.0 | RHEL5(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | RHEL5(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V11.0.0 | RHEL5(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | RHEL5(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Enterprise Edition | V11.0.0 | RHEL6(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Enterprise Edition | V11.1.0 | RHEL6(Intel64) | ISJEE6 | 未定 |
Interstage Application Server Standard-J Edition | V11.0.0 | RHEL6(Intel64) | ISJEE6 | [*1] |
Interstage Application Server Standard-J Edition | V11.1.0 | RHEL6(Intel64) | ISJEE6 | 未定 |
Interstage Application Server powered by Windows Azure | V1.0.0 | Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | ISJEE6A | [*2] |
Interstage Application Server powered by Windows Azure | V1.0.1 | Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | ISJEE6A | [*2] |
Interstage Application Server Standard-J Edition(Windows Azure) | V11.0.0 | Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | ISJEE6A | [*2] |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Studio Standard-J Edition | V10.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011 | ISJEE6 | [*1] |
Interstage Studio Standard-J Edition | V11.0.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011/ Windows Server 2012/ Windows 8 | ISJEE6 | [*1] |
Interstage Studio Standard-J Edition | V11.1.0A | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011/ Windows Server 2012/ Windows 8 | ISJEE6 | 未定 |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Web Server Express | V11.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012 | ISJEE6 | 未定 |
Interstage Web Server Express | V11.1.0 | Solaris 10/ 11 | ISJEE6 | 未定 |
Interstage Web Server Express | V11.1.0 | RHEL5(x86)/ RHEL5(Intel64) | ISJEE6 | 未定 |
Interstage Web Server Express | V11.1.0 | RHEL6(x86)/ RHEL6(Intel64) | ISJEE6 | 未定 |
[*1]該当バージョンのJava EE 6は、業務運用での利用はサポートしていないため、修正パッチの提供予定はありません。
[*2]修正パッチについては、発行元までお問い合わせください。
参考: 該当製品の確認方法
製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。
3-3. 回避方法
Interstage HTTP Server 2.2を使用している場合、httpd.confに下記定義を追加した後、Interstage HTTP Server 2.2を再起動することで回避可能です。
- Windowsの場合
----------------------------------------------------------------
LoadModule rewrite_module "C:/Interstage/F3FMahs/modules/mod_rewrite.so"
<Location />
RewriteEngine On
RewriteCond %{HTTP:Content-Type} .{4091,}$ [NC]
RewriteRule .* - [F]
</Location>
----------------------------------------------------------------
上記は、「C:¥Interstage」にInterstageをインストールした場合の設定例です。
「C:¥Interstage」以外のパスにInterstageをインストールしている場合は、LoadModuleディレクティブを実際のインストールパスに修正してください。 - Solaris、Linuxの場合
----------------------------------------------------------------
LoadModule rewrite_module "/opt/FJSVahs/modules/mod_rewrite.so"
<Location />
RewriteEngine On
RewriteCond %{HTTP:Content-Type} .{4091,}$ [NC]
RewriteRule .* - [F]
</Location>
----------------------------------------------------------------
4. 関連情報
- 本問題は、以下に該当します。
- JVN#14876762: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN14876762/index.html
- JVN#14876762: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
- OSSのCVE番号は以下です。
Apache Commons FileUpload: CVE-2014-0050
5. 改版履歴
- 2014年3月25日 新規掲載