GTM-MML4VXJ
Skip to main content

Interstage Business Process Manager Analytics: 任意のコード実行の脆弱性(CVE-2013-2248, CVE-2013-2251) (2013年11月6日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Interstage Business Process Manager Analytics(BPMA)がサーバ部の基盤として利用しているApache Struts2に任意のコード実行の脆弱性があり、この影響で、攻撃者がBPMAのURLから任意のコード実行を行う可能性があります。

Interstage Business Process Manager Analyticsについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bpmanalytics/

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

攻撃者がBPMAのURLに特定のパラメーターを付与することで、サーバ上で任意のコードを実行する可能性があります。

本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, SPARC

3-2.該当製品・対策Patch

製品名 対象OS パッケージ名 Patch ID
Interstage Business Process Manager Analytics 12.0 Windows Server 2003/ 2008  - T008832WP-02
Interstage Business Process Manager Analytics 12.0 RHEL 5.x/ 6.x FJSVibpma T008833LP-02
Interstage Business Process Manager Analytics 12.1 Windows Server 2003/ 2008/ 2012  - T008834WP-02
Interstage Business Process Manager Analytics 12.1 RHEL 5.x/ 6.x FJSVibpma T008835LP-02
Interstage Business Process Manager Analytics 12.1 Solaris 11 FJSVibpma T008837SP-02

パッチ入手に関しては、当社サポートセンターにお問い合わせください。

参考: 該当製品の確認方法

  • Windows版の場合
    1. [スタートボタン]から[すべてのプログラム]を選択し、ご利用になっている製品名のグループにある[ソフトウェア説明書]を開きます。
    2. [ソフトウェア説明書]の上部に製品名と共にバージョンレベルの記載があります。
  • Linux版の場合
    1. コンソール画面より以下のコマンドを入力します。
      #rpm -qi FJSVibpma
    2. コマンドの出力中にバージョンが表示されます。
  • Solaris版の場合
    1. コンソール画面より以下のコマンドを入力します。
      #pkginfo -l FJSVibpma
    2. コマンドの出力中にバージョンが表示されます。

3-3. 回避方法

IPS製品を導入して以下のパラメーターを含むURLの実行を禁止します。

action、redirect、redirectAction

4. 関連情報

5. 改版履歴

  • 2013年11月6日 初版提供のパッチに不具合が検出されたため、パッチの差し替え「3-2. 該当製品」のPatch IDを更新しました。
  • 2013年9月4日 新規掲載