Interstage Business Application Server:Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性(2016年6月7日)
1. 脆弱性の説明
該当製品が提供するApache Commons Collections ライブラリに、任意のコードを実行させられる脆弱性が確認されました。
なお、該当製品をインストールしているすべてのコンピュータが、脆弱性の影響を受けるわけではありません。
該当製品に含まれるオープンJavaフレームワークをインストールしており、かつ、WebアプリケーションにおいてTERASOLUNAまたはStruts1を使用している場合に、脆弱性の影響を受ける可能性があります。
Interstage Business Application Serverについては以下のページを参照してください。
基幹オンラインシステム基盤 FUJITSU Software Interstage Business Application Server
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
Webアプリケーションが動作するサーバーが本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、Webアプリケーション上で任意のJavaコードが実行される可能性があります。
[脆弱性の影響を受ける一般的な例]
Webアプリケーションが動作するサーバーが、そのシステム外からの不正なHTTPリクエストを受け取った場合、脆弱性の影響を受ける可能性があります。
該当製品が動作するサーバーのネットワーク構成をご確認ください。
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC M10, その他(AT互換機)
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Business Application Server Enterprise Edition | V9.2.0 | RHEL-AS4(IPF)/ RHEL5(IPF) | FJSVibsjf | T005089QP-06 |
Interstage Business Application Server Enterprise Edition | V9.2.0 | RHEL5(Intel64) | FJSVibsjf | T005088LP-06 |
Interstage Business Application Server Enterprise Edition | V9.2.0A | RHEL5(Intel64) | FJSVibsjf | T005088LP-06 |
Interstage Business Application Server Enterprise Edition | V9.2.1 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009587LP-05 |
Interstage Business Application Server Enterprise Edition | V10.0.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009591LP-05 |
Interstage Business Application Server Enterprise Edition | V10.0.0A | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009591LP-05 |
Interstage Business Application Server Enterprise Edition | V11.0.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009600LP-05 |
Interstage Business Application Server Enterprise Edition | V11.0.0A | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009600LP-05 |
Interstage Business Application Server Enterprise Edition | V11.1.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009606LP-05 |
Interstage Business Application Server Enterprise Edition | V11.1.1 | RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64) | FJSVibsjf | T010883LP-03 |
Interstage Business Application Server Enterprise Edition | V11.2.0 | RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64) | FJSVibsjf | T012325LP-01 |
Interstage Business Application Server Standard Edition | V9.2.0 | RHEL-AS4(IPF)/ RHEL5(IPF) | FJSVibsjf | T005089QP-06 |
Interstage Business Application Server Standard Edition | V9.2.0 | RHEL5(Intel64) | FJSVibsjf | T005088LP-06 |
Interstage Business Application Server Standard Edition | V9.2.0A | RHEL5(Intel64) | FJSVibsjf | T005088LP-06 |
Interstage Business Application Server Standard Edition | V9.2.1 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009587LP-05 |
Interstage Business Application Server Standard Edition | V10.0.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009591LP-05 |
Interstage Business Application Server Standard Edition | V10.0.0A | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009591LP-05 |
Interstage Business Application Server Standard Edition | V11.0.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009600LP-05 |
Interstage Business Application Server Standard Edition | V11.0.0A | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009600LP-05 |
Interstage Business Application Server Standard Edition | V11.1.0 | RHEL5(Intel64)/ RHEL6(Intel64) | FJSVibsjf | T009606LP-05 |
Interstage Business Application Server Standard Edition | V11.1.1 | RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64) | FJSVibsjf | T010883LP-03 |
Interstage Business Application Server Standard Edition | V11.2.0 | RHEL5(Intel64)/ RHEL6(Intel64)/ RHEL7(Intel64) | FJSVibsjf | T012325LP-01 |
Interstage Business Application Server Standard Edition | V9.2.1 | RHEL-AS4(x86)/ RHEL-AS4(EM64T)/ RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64) | FJSVibsjf | T009586LP-05 |
Interstage Business Application Server Standard Edition | V10.0.0 | RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64) | FJSVibsjf | T009589LP-05 |
Interstage Business Application Server Standard Edition | V10.0.0A | RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64) | FJSVibsjf | T009589LP-05 |
Interstage Business Application Server Standard Edition | V11.0.0 | RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64) | FJSVibsjf | T009598LP-05 |
Interstage Business Application Server Standard Edition | V11.1.0 | RHEL5(x86)/ RHEL5(Intel64)/ RHEL6(x86)/ RHEL6(Intel64) | FJSVibsjf | T009605LP-05 |
Interstage Business Application Server Enterprise Edition | V11.0.0 | Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009603XP-05 |
Interstage Business Application Server Enterprise Edition | V11.1.0 | Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009609XP-05 |
Interstage Business Application Server Standard Edition | V11.0.0 | Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009603XP-05 |
Interstage Business Application Server Standard Edition | V11.1.0 | Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009609XP-05 |
Interstage Business Application Server Standard Edition | V9.2.0 | Windows 2000 Server / Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008 | FJSVibsjf | T005086WP-06 |
Interstage Business Application Server Standard Edition | V10.0.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | FJSVibsjf | T009593WP-05 |
Interstage Business Application Server Standard Edition | V10.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2 | FJSVibsjf | T009595WP-05 |
Interstage Business Application Server Standard Edition | V11.0.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009602WP-05 |
Interstage Business Application Server Standard Edition | V11.1.0 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | FJSVibsjf | T009608WP-05 |
Interstage Business Application Server Enterprise Edition | V9.2.0 | Solaris 9/ Solaris 10 | FJSVibsjf | T004768SP-10 |
Interstage Business Application Server Enterprise Edition | V10.0.0 | Solaris 9/ Solaris 10 | FJSVibsjf | T009592SP-05 |
Interstage Business Application Server Enterprise Edition | V10.1.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009594SP-05 |
Interstage Business Application Server Enterprise Edition | V10.1.0A | Solaris 10/ Solaris 11 | FJSVibsjf | T009594SP-05 |
Interstage Business Application Server Enterprise Edition | V11.0.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009601SP-05 |
Interstage Business Application Server Enterprise Edition | V11.1.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009607SP-05 |
Interstage Business Application Server Standard Edition | V9.2.0 | Solaris 9/ Solaris 10 | FJSVibsjf | T004768SP-10 |
Interstage Business Application Server Standard Edition | V10.0.0 | Solaris 9/ Solaris 10 | FJSVibsjf | T009592SP-05 |
Interstage Business Application Server Standard Edition | V10.1.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009594SP-05 |
Interstage Business Application Server Standard Edition | V10.1.0A | Solaris 10/ Solaris 11 | FJSVibsjf | T009594SP-05 |
Interstage Business Application Server Standard Edition | V11.0.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009601SP-05 |
Interstage Business Application Server Standard Edition | V11.1.0 | Solaris 10/ Solaris 11 | FJSVibsjf | T009607SP-05 |
対策Patchに関しては、ご契約のサービスサポート窓口までお問い合わせください。
参考: 該当製品の確認方法
製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。
3-3. 回避方法
以下の場合はクラスパスからcommons-collections-3.2.1.jarを削除することで回避できます。
それ以外の場合、回避方法はありません。
- Strutsを使用している場合かつStrutsのデータソース機能を利用しない場合
または
- TERASOLUNA Server Framework for Java (Web版)を使用している場合
4. 関連情報
- JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/index.html - JVNDB-2015-005930
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-005930.html
5. 改版履歴
- 2016年6月7日 新規掲載