Interstage Business Process Manager Analytics, Systemwalker Service Quality Coordinator Enterprise Edition, Interstage Business Analytics Modeling Server, Symfoware Analytics Server Standard Edition:攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094) (2014年6月3日)
1. 脆弱性の説明
Interstage Business Process Manager Analytics(BPMA)の運用管理コンソール、ダッシュボード、Analytics Studio(V12.0以降)および、Systemwalker Service Quality Coordinator Enterprise Edition(SQC EE)、Interstage Business Analytics Modeling Server(BAMS), Symfoware Analytics Server Standard Edition(SymfoAS SE) のダッシュボードの動作基盤として利用しているApache Strutsにおいて、クラスローダーを外部から操作可能な脆弱性が確認されました。この影響で、情報の窃取や特定ファイルの操作を許してしまう可能性があります。
Interstage Business Process Manager Analyticsについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bpmanalytics/
Systemwalker Service Quality Coordinatorについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/sqc/
Interstage Business Analytics Modeling Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bamodelingserver/
Symfoware Analytics Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/analyticsserver/
富士通は、3. でセキュリティパッチおよび回避方法を提示していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能はイントラネット内もしくは、運用環境によりセキュリティ侵害対策を構築したネットワーク上で使用されることを前提としています。
そのようなネットワーク環境上の悪意のある利用者から本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、ダッシュボードが利用できなくなる、あるいは、BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能が動作するサーバ上の任意のファイルが読み取られるなど、様々な被害を受ける可能性があります。
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, SPARC
3-2.該当製品・対策Patch
・ Interstage Business Process Manager Analytics
・ Systemwalker Service Quality Coordinator
・ Interstage Business Analytics Modeling Server
・ Symfoware Analytics Server
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Business Process Manager Analytics | 10.1 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
Interstage Business Process Manager Analytics | 10.1 | Red Hat Enterprise Linux 5.x | FJSVibpma | 未定 |
Interstage Business Process Manager Analytics | 11.0 | Windows Server 2003/ Windows Server 2008 | - | 発行予定あり |
Interstage Business Process Manager Analytics | 11.0 | Red Hat Enterprise Linux 5.x | FJSVibpma | 発行予定あり |
Interstage Business Process Manager Analytics | 11.0 | Solaris10 | FJSVibpma | 発行予定あり |
Interstage Business Process Manager Analytics | 11.1 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
Interstage Business Process Manager Analytics | 11.1 | Red Hat Enterprise Linux 5.x | FJSVibpma | 未定 |
Interstage Business Process Manager Analytics | 12.0 | Windows Server 2003/ Windows Server 2008 | - | 未定 |
Interstage Business Process Manager Analytics | 12.0 | Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x | FJSVibpma | 未定 |
Interstage Business Process Manager Analytics | 12.1 | Windows Server 2003/ Windows Server 2008/ Windows Server 2012 | - | 未定 |
Interstage Business Process Manager Analytics | 12.1 | Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x | FJSVibpma | 未定 |
Interstage Business Process Manager Analytics | 12.1 | Solaris 11 | FJSVibpma | 未定 |
Interstage Business Process Manager Analytics | 12.2 | Windows Server 2008/ Windows Server 2012 | - | 未定 |
Interstage Business Process Manager Analytics | 12.2 | Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.x | FJSVibpma | 未定 |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版) | 13.4.0/ 13.4.0A | Windows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 発行予定あり |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版) | 13.5.0 | Windows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版) | 15.0.0 | Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版) | 15.0.1 | Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版) | 13.4.0/ 13.4.0A/ 13.4.0B | Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 発行予定あり |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版) | 13.5.0 | Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版) | 15.0.0 | Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版) | 15.0.1 | Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition クライアント | 15.1.0 | Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)/ Windows Server 2012 R2(x64) | - | 発行予定あり |
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版) | 13.4.0/ 13.4.0A/ 13.4.0B | Red Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86) | - | 発行予定あり |
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版) | 13.5.0 | Red Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版) | 13.4.0/ 13.4.0A | Red Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版) | 13.5.0 | Red Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64) | - | 未定 |
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版) | 13.4.0/ 13.4.0A | Solaris 9/ Solaris 10 | - | 発行予定あり |
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版) | 13.5.0 | Solaris 9/ Solaris 10 | - | 未定 |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Interstage Business Analytics Modeling Server | V1.0.0 | Windows Server 2008 R2/ Windows Server 2012 | - | 未定 |
Interstage Business Analytics Modeling Server | V1.0.0 | Red Hat Enterprise Linux 6 | - | 未定 |
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symfoware Analytics Server Standard Edition | V12.0.0 | Windows Server 2008 R2 | - | 未定 |
Symfoware Analytics Server Standard Edition | V12.0.0 | Red Hat Enterprise Linux 6(Intel64) | - | 未定 |
[※1]Interstage Business Analytics Modeling Server V1.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
[※2]Symfoware Analytics Server Standard Edition (64bit) V12.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
注意)修正情報などの入手は、 FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。
参考: 該当製品の確認方法
- BPMA,BAMS,SymfoAS SEの場合
- Windows版の場合
- [スタートボタン]から[すべてのプログラム]を選択し、ご利用になっている製品名のグループにある[ソフトウェア説明書]を開きます。
- [ソフトウェア説明書]の上部に製品名と共にバージョンレベルの記載があります。
- Linux版の場合
- コンソール画面より以下のコマンドを入力します。
#rpm -qi FJSVibpma - コマンドの出力中にバージョンが表示されます。
- コンソール画面より以下のコマンドを入力します。
- Solaris版の場合
- コンソール画面より以下のコマンドを入力します。
#pkginfo -l FJSVibpma - コマンドの出力中にバージョンが表示されます。
- コンソール画面より以下のコマンドを入力します。
- Windows版の場合
- SQC EE場合
- Windows版の場合
以下のレジストリキーの有無- 32bitの場合
HKEY_LOCAL_MACHINE¥SOFTWARE¥Fujitsu¥INTS-BPMMW¥11.00.0001 - 64bitの場合
HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Fujitsu¥INTS-BPMMW¥11.00.0001
- 32bitの場合
- Solaris版の場合
- パッケージ情報
PKG=FJSVibpma
NAME=Interstage Business Process Manager Analytics
VERSION=11.1.0
IBPMA_RELEASE=5
PSTAMP=ymir20110222134804
- パッケージ情報
- Linux版の場合
- パッケージ情報
Summary: Interstage Business Process Manager Analytics
Name: FJSVibpma
Version: 11.1.0
Release: 5
- パッケージ情報
- Windows版の場合
3-3. 回避方法
- IPS(Intrusion Prevention System)製品を使用している場合は、次の正規表現に該当する文字列を含むパラメタのリクエストを拒否します。
(^|¥¥W)[cC]lass¥¥W - サーブレットフィルタを実装して、BPMA, SQC EE, BAMS, SymfoAS SEへ適用します。
- 下記の例のようなJavaプログラムをコンパイルして、クラスファイルを作成する。
[プログラムの例(クラス名は任意)]
------
package com.fujitsu.patch;
import javax.servlet.Filter;
...(省略)...
import java.util.regex.Pattern;
public class BPMStrutsFilter implements Filter {
static Pattern EXCLUDE_PATTERN = Pattern.compile("(^|¥¥W)[cC]lass¥¥W");
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain filter) throws IOException, ServletException {
req.setCharacterEncoding("UTF-8");
Enumeration params = ((HttpServletRequest)req).getParameterNames();
while (params.hasMoreElements()) {
String name = (String) params.nextElement();
if (EXCLUDE_PATTERN.matcher(name).find()) {
throw new IllegalArgumentException(name);
}
}
filter.doFilter(req, res);
}
public void init(FilterConfig filterConfig) throws ServletException {
}
public void destroy() {
}
}
------ - BPMAのアプリケーションサーバ用warファイル展開先のWEB-INF配下に配置されているweb.xmlに対して、1)で作成したクラスをフィルタとして指定する。
例えばInterstage J2EE(Linux)の場合:/var/opt/FJSVj2ee/deployment/ijserver/IBPMMServer/apps/ibpmm.war/WEB-INF
[web.xml記入例(filter-nameに指定する名前は任意)]- BPMA V11.0/V11.1 ,SQC EE V13.4/V13.5の場合
------
<web-app>
...
<filter>
<filter-name>BPMStrutsFilter</filter-name>
<filter-class>com.fujitsu.patch.BPMStrutsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
...
</web-app>
------ - BPMA V12.0/V12.1/V12.2 , SQC EE V15.0/V15.1, BAMS, SymfoAS SEの場合
以下のfilter-mapping要素は、他のfilter-mapping要素よりも
先に記述する必要があります。
------
<web-app>
...
<filter>
<filter-name>BPMStrutsFilter</filter-name>
<filter-class>com.fujitsu.patch.BPMStrutsFilterit;/filter-class>
</filter>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>/admintool/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>/dashboard/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>/mobile/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>/studio/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>BPMStrutsFilter</filter-name>
<url-pattern>/struts/*</url-pattern>
</filter-mapping>
...
</web-app>
------
- BPMA V11.0/V11.1 ,SQC EE V13.4/V13.5の場合
- ii)のWEB-INF配下に「classes」フォルダを作成し、そこにi)で作成したクラスファイルを以下のルールに従って配備する。
classes配下のフォルダ階層は1)で作成したクラスのパッケージ名の階層に合わせて作成し、その配下に配備します。
例)パッケージ名がcom.fujitsu.patchの場合1のクラスファイルの配備先は、classes¥com¥fujitsu¥patch - BPMAのアプリケーションサーバを再起動して、設定を反映させる。
- BAMS、SymfoAS SEのダッシュボード機能を使用している場合
bpmstopコマンドを実行し、脆弱性の影響を受けるサービスを停止します。
ただし、ダッシュボードが使用不可となります。
bpmstopコマンドの詳細は、マニュアル「Interstage Business Process Manager Analytics V12.1」の「使用手引書(管理コンソール)」の「6.2.1.2 bpmstop」を参照してください。引数に指定するスーパーユーザーのパスワードには、「プレゼンテーション機能の管理者パスワード」を指定してください。
- BAMS、SymfoAS SEのダッシュボード機能を使用している場合
- 下記の例のようなJavaプログラムをコンパイルして、クラスファイルを作成する。
4. 関連情報
- JVNDB-2014-001603
「Apache Struts の ParametersInterceptor における ClassLoader を操作される脆弱性」
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001603.html
5. 改版履歴
- 2014年6月3日 第2版
- 「3-2. 該当製品・対策Patch」へ Interstage Business Process Manager Analytics 12.1 (Solaris 11)を追加
- 「3-3. 回避方法」の記載誤りを訂正
- 2014年5月19日 新規掲載