Interstage Business Application Server：Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性(2016年6月7日)

1. 脆弱性の説明

該当製品が提供するApache Commons Collections ライブラリに、任意のコードを実行させられる脆弱性が確認されました。

なお、該当製品をインストールしているすべてのコンピュータが、脆弱性の影響を受けるわけではありません。
該当製品に含まれるオープンJavaフレームワークをインストールしており、かつ、WebアプリケーションにおいてTERASOLUNAまたはStruts1を使用している場合に、脆弱性の影響を受ける可能性があります。

Interstage Business Application Serverについては以下のページを参照してください。
基幹オンラインシステム基盤 FUJITSU Software Interstage Business Application Server

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

Webアプリケーションが動作するサーバーが本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、Webアプリケーション上で任意のJavaコードが実行される可能性があります。

［脆弱性の影響を受ける一般的な例］
Webアプリケーションが動作するサーバーが、そのシステム外からの不正なHTTPリクエストを受け取った場合、脆弱性の影響を受ける可能性があります。
該当製品が動作するサーバーのネットワーク構成をご確認ください。

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC M10, その他(AT互換機)

3-2.該当製品・対策Patch

Interstage Business Application Server
製品名	バージョン	対象OS	パッケージ名	Patch ID
Interstage Business Application Server Enterprise Edition	V9.2.0	RHEL-AS4(IPF)/ RHEL5(IPF)	FJSVibsjf	T005089QP-06
Interstage Business Application Server Enterprise Edition	V9.2.0	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Enterprise Edition	V9.2.0A	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Enterprise Edition	V9.2.1	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009587LP-05
Interstage Business Application Server Enterprise Edition	V10.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Enterprise Edition	V10.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009606LP-05
Interstage Business Application Server Enterprise Edition	V11.1.1	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T010883LP-03
Interstage Business Application Server Enterprise Edition	V11.2.0	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T012325LP-01
Interstage Business Application Server Standard Edition	V9.2.0	RHEL-AS4(IPF)/ RHEL5(IPF)	FJSVibsjf	T005089QP-06
Interstage Business Application Server Standard Edition	V9.2.0	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Standard Edition	V9.2.0A	RHEL5(Intel64)	FJSVibsjf	T005088LP-06
Interstage Business Application Server Standard Edition	V9.2.1	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009587LP-05
Interstage Business Application Server Standard Edition	V10.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Standard Edition	V10.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009591LP-05
Interstage Business Application Server Standard Edition	V11.0.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Standard Edition	V11.0.0A	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009600LP-05
Interstage Business Application Server Standard Edition	V11.1.0	RHEL5(Intel64)/ RHEL6(Intel64)	FJSVibsjf	T009606LP-05
Interstage Business Application Server Standard Edition	V11.1.1	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T010883LP-03
Interstage Business Application Server Standard Edition	V11.2.0	RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64)	FJSVibsjf	T012325LP-01
Interstage Business Application Server Standard Edition	V9.2.1	RHEL-AS4(x86)/ RHEL-AS4(EM64T)/ RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009586LP-05
Interstage Business Application Server Standard Edition	V10.0.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009589LP-05
Interstage Business Application Server Standard Edition	V10.0.0A	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009589LP-05
Interstage Business Application Server Standard Edition	V11.0.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009598LP-05
Interstage Business Application Server Standard Edition	V11.1.0	RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64)	FJSVibsjf	T009605LP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009603XP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009609XP-05
Interstage Business Application Server Standard Edition	V11.0.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009603XP-05
Interstage Business Application Server Standard Edition	V11.1.0	Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009609XP-05
Interstage Business Application Server Standard Edition	V9.2.0	Windows 2000 Server / Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008	FJSVibsjf	T005086WP-06
Interstage Business Application Server Standard Edition	V10.0.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2	FJSVibsjf	T009593WP-05
Interstage Business Application Server Standard Edition	V10.1.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2	FJSVibsjf	T009595WP-05
Interstage Business Application Server Standard Edition	V11.0.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009602WP-05
Interstage Business Application Server Standard Edition	V11.1.0	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012	FJSVibsjf	T009608WP-05
Interstage Business Application Server Enterprise Edition	V9.2.0	Solaris 9/ Solaris 10	FJSVibsjf	T004768SP-10
Interstage Business Application Server Enterprise Edition	V10.0.0	Solaris 9/ Solaris 10	FJSVibsjf	T009592SP-05
Interstage Business Application Server Enterprise Edition	V10.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Enterprise Edition	V10.1.0A	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Enterprise Edition	V11.0.0	Solaris 10/ Solaris 11	FJSVibsjf	T009601SP-05
Interstage Business Application Server Enterprise Edition	V11.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009607SP-05
Interstage Business Application Server Standard Edition	V9.2.0	Solaris 9/ Solaris 10	FJSVibsjf	T004768SP-10
Interstage Business Application Server Standard Edition	V10.0.0	Solaris 9/ Solaris 10	FJSVibsjf	T009592SP-05
Interstage Business Application Server Standard Edition	V10.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Standard Edition	V10.1.0A	Solaris 10/ Solaris 11	FJSVibsjf	T009594SP-05
Interstage Business Application Server Standard Edition	V11.0.0	Solaris 10/ Solaris 11	FJSVibsjf	T009601SP-05
Interstage Business Application Server Standard Edition	V11.1.0	Solaris 10/ Solaris 11	FJSVibsjf	T009607SP-05

対策Patchに関しては、ご契約のサービスサポート窓口までお問い合わせください。

参考: 該当製品の確認方法

製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。

3-3. 回避方法

以下の場合はクラスパスからcommons-collections-3.2.1.jarを削除することで回避できます。
それ以外の場合、回避方法はありません。
- Strutsを使用している場合かつStrutsのデータソース機能を利用しない場合
または
- TERASOLUNA Server Framework for Java (Web版)を使用している場合

4. 関連情報

JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/index.html
JVNDB-2015-005930
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-005930.html

5. 改版履歴

2016年6月7日新規掲載