1. ホーム
  2. 製品
  3. ソフトウェア
  4. ライブラリー
  5. インフォメーション&ダウンロード
  6. ソフトウェア セキュリティ
  7. Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050) (2014年3月25日)

Interstage Application Server: Java EE 6におけるサービス運用妨害(DoS)の脆弱性(CVE-2014-0050) (2014年3月25日)

本セキュリティサイトについてのご注意

1. 脆弱性の説明

Java EE 6のサーブレットのファイルアップロード機能において、サービス運用妨害(DoS)の脆弱性が確認されました。(CVE-2014-0050)

Interstageについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/

2. 脆弱性のもたらす脅威

Java EE 6のWebコンテナで、Servlet 3.0で追加されたファイルアップロード機能を使用している場合、リモートの攻撃者から細工されたリクエストが送信されることにより、 Java EE 6を運用しているサーバのCPUを大量に消費し、サービス運用妨害(DoS)となる可能性があります。

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC M10, その他(AT互換機)

3-2.該当製品・対策Patch

Interstage Application Server
Interstage Studio
Interstage Web Server Express

Interstage Application Server
製品名バージョン対象OSパッケージ名Patch ID
Interstage Application Server Enterprise EditionV10.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.0.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6未定
Interstage Application Server Standard-J EditionV10.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.0.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6未定
Interstage Application Server Enterprise EditionV11.0.0Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6未定
Interstage Application Server Standard-J EditionV11.0.0Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0Windows(EM64T) Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6未定
Interstage Application Server Enterprise EditionV10.1.0Solaris 9/ 10/ 11ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.0.0Solaris 10/ 11ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0Solaris 10/ 11ISJEE6未定
Interstage Application Server Standard-J EditionV10.1.0Solaris 9/ 10/ 11ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.0.0Solaris 10/ 11ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0Solaris 10/ 11ISJEE6未定
Interstage Application Server Enterprise EditionV11.0.0RHEL5(x86)/ RHEL5(Intel64)ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0RHEL5(x86)/ RHEL5(Intel64)ISJEE6未定
Interstage Application Server Standard-J EditionV11.0.0RHEL5(x86)/ RHEL5(Intel64)ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0RHEL5(x86)/ RHEL5(Intel64)ISJEE6未定
Interstage Application Server Enterprise EditionV11.0.0RHEL6(x86)/ RHEL6(Intel64)ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0RHEL6(x86)/ RHEL6(Intel64)ISJEE6未定
Interstage Application Server Standard-J EditionV11.0.0RHEL6(x86)/ RHEL6(Intel64)ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0RHEL6(x86)/ RHEL6(Intel64)ISJEE6未定
Interstage Application Server Enterprise EditionV11.0.0RHEL5(Intel64)ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0RHEL5(Intel64)ISJEE6未定
Interstage Application Server Standard-J EditionV11.0.0RHEL5(Intel64)ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0RHEL5(Intel64)ISJEE6未定
Interstage Application Server Enterprise EditionV11.0.0RHEL6(Intel64)ISJEE6[*1]
Interstage Application Server Enterprise EditionV11.1.0RHEL6(Intel64)ISJEE6未定
Interstage Application Server Standard-J EditionV11.0.0RHEL6(Intel64)ISJEE6[*1]
Interstage Application Server Standard-J EditionV11.1.0RHEL6(Intel64)ISJEE6未定
Interstage Application Server powered by Windows AzureV1.0.0Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012ISJEE6A[*2]
Interstage Application Server powered by Windows AzureV1.0.1Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012ISJEE6A[*2]
Interstage Application Server Standard-J Edition(Windows Azure)V11.0.0Windows(EM64T) Server 2008/ Windows Server 2008 R2/ Windows Server 2012ISJEE6A[*2]
Interstage Studio
製品名バージョン対象OSパッケージ名Patch ID
Interstage Studio Standard-J EditionV10.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011ISJEE6[*1]
Interstage Studio Standard-J EditionV11.0.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011/ Windows Server 2012/ Windows 8ISJEE6[*1]
Interstage Studio Standard-J EditionV11.1.0AWindows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows XP/ Windows Vista/ Windows 7/ Windows Small Business Server 2011/ Windows Server 2012/ Windows 8ISJEE6未定
Interstage Web Server Express
製品名バージョン対象OSパッケージ名Patch ID
Interstage Web Server ExpressV11.1.0Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Small Business Server 2011/ Windows Server 2012ISJEE6未定
Interstage Web Server ExpressV11.1.0Solaris 10/ 11ISJEE6未定
Interstage Web Server ExpressV11.1.0RHEL5(x86)/ RHEL5(Intel64)ISJEE6未定
Interstage Web Server ExpressV11.1.0RHEL6(x86)/ RHEL6(Intel64)ISJEE6未定

[*1]該当バージョンのJava EE 6は、業務運用での利用はサポートしていないため、修正パッチの提供予定はありません。
[*2]修正パッチについては、発行元までお問い合わせください。

参考: 該当製品の確認方法

製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。

3-3. 回避方法

Interstage HTTP Server 2.2を使用している場合、httpd.confに下記定義を追加した後、Interstage HTTP Server 2.2を再起動することで回避可能です。

  • Windowsの場合
    ----------------------------------------------------------------
    LoadModule rewrite_module "C:/Interstage/F3FMahs/modules/mod_rewrite.so"

    <Location />
    RewriteEngine On
    RewriteCond %{HTTP:Content-Type} .{4091,}$ [NC]
    RewriteRule .* - [F]
    </Location>
    ----------------------------------------------------------------
    上記は、「C:¥Interstage」にInterstageをインストールした場合の設定例です。
    「C:¥Interstage」以外のパスにInterstageをインストールしている場合は、LoadModuleディレクティブを実際のインストールパスに修正してください。
  • Solaris、Linuxの場合
    ----------------------------------------------------------------
    LoadModule rewrite_module "/opt/FJSVahs/modules/mod_rewrite.so"

    <Location />
    RewriteEngine On
    RewriteCond %{HTTP:Content-Type} .{4091,}$ [NC]
    RewriteRule .* - [F]
    </Location>
    ----------------------------------------------------------------

4. 関連情報

  • 本問題は、以下に該当します。
  • OSSのCVE番号は以下です。
    Apache Commons FileUpload: CVE-2014-0050

5. 改版履歴

  • 2014年3月25日 新規掲載

ページの先頭へ