Interstage Business Process Manager Analytics, Systemwalker Service Quality Coordinator Enterprise Edition, Interstage Business Analytics Modeling Server, Symfoware Analytics Server Standard Edition:攻撃者にClassLoader の操作を許してしまう脆弱性(CVE-2014-0094) (2014年6月3日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Interstage Business Process Manager Analytics(BPMA)の運用管理コンソール、ダッシュボード、Analytics Studio(V12.0以降)および、Systemwalker Service Quality Coordinator Enterprise Edition(SQC EE)、Interstage Business Analytics Modeling Server(BAMS), Symfoware Analytics Server Standard Edition(SymfoAS SE) のダッシュボードの動作基盤として利用しているApache Strutsにおいて、クラスローダーを外部から操作可能な脆弱性が確認されました。この影響で、情報の窃取や特定ファイルの操作を許してしまう可能性があります。

Interstage Business Process Manager Analyticsについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bpmanalytics/
Systemwalker Service Quality Coordinatorについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/systemwalker/products/sqc/
Interstage Business Analytics Modeling Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/bamodelingserver/
Symfoware Analytics Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/analyticsserver/

富士通は、3. でセキュリティパッチおよび回避方法を提示していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能はイントラネット内もしくは、運用環境によりセキュリティ侵害対策を構築したネットワーク上で使用されることを前提としています。
そのようなネットワーク環境上の悪意のある利用者から本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、ダッシュボードが利用できなくなる、あるいは、BPMAおよびSQC EE、BAMS、SymfoAS SEのダッシュボード機能が動作するサーバ上の任意のファイルが読み取られるなど、様々な被害を受ける可能性があります。

3. 該当システム・対策情報

3-1.該当システム

GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000, SPARC

3-2.該当製品・対策Patch

Interstage Business Process Manager Analytics
Systemwalker Service Quality Coordinator
Interstage Business Analytics Modeling Server
Symfoware Analytics Server

Interstage Business Process Manager Analytics
製品名バージョン対象OSパッケージ名Patch ID
Interstage Business Process Manager Analytics10.1Windows Server 2003/ Windows Server 2008-未定
Interstage Business Process Manager Analytics10.1Red Hat Enterprise Linux 5.xFJSVibpma未定
Interstage Business Process Manager Analytics11.0Windows Server 2003/ Windows Server 2008-発行予定あり
Interstage Business Process Manager Analytics11.0Red Hat Enterprise Linux 5.xFJSVibpma発行予定あり
Interstage Business Process Manager Analytics11.0Solaris10FJSVibpma発行予定あり
Interstage Business Process Manager Analytics11.1Windows Server 2003/ Windows Server 2008-未定
Interstage Business Process Manager Analytics11.1Red Hat Enterprise Linux 5.xFJSVibpma未定
Interstage Business Process Manager Analytics12.0Windows Server 2003/ Windows Server 2008-未定
Interstage Business Process Manager Analytics12.0Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.xFJSVibpma未定
Interstage Business Process Manager Analytics12.1Windows Server 2003/ Windows Server 2008/ Windows Server 2012-未定
Interstage Business Process Manager Analytics12.1Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.xFJSVibpma未定
Interstage Business Process Manager Analytics12.1Solaris 11FJSVibpma未定
Interstage Business Process Manager Analytics12.2Windows Server 2008/ Windows Server 2012-未定
Interstage Business Process Manager Analytics12.2Red Hat Enterprise Linux 5.x/ Red Hat Enterprise Linux 6.xFJSVibpma未定
Systemwalker Service Quality Coordinator
製品名バージョン対象OSパッケージ名Patch ID
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)13.4.0/ 13.4.0AWindows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)13.5.0Windows 2000 Server(x86)/ Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)15.0.0Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows 版)15.0.1Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)13.4.0/ 13.4.0A/ 13.4.0BWindows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)13.5.0Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)15.0.0Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Windows for x64版)15.0.1Windows Server 2003(x64)/ Windows Server 2003 R2(x64)/ Windows Server Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition クライアント15.1.0Windows Server 2003(x86)/ Windows Server 2003(x64)/ Windows Server 2003 R2(x86)/ Windows Server 2003 R2(x64)/ Windows Server 2008(x86)/ Windows Server 2008(x64)/ Windows Server 2008 R2(x64)/ Windows Server 2012(x64)/ Windows Server 2012 R2(x64)-発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版)13.4.0/ 13.4.0A/ 13.4.0BRed Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86)-発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Linux 版)13.5.0Red Hat Enterprise Linux 5 (x86)/ Red Hat Enterprise Linux 6 (x86)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版)13.4.0/ 13.4.0ARed Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Linux for x64版)13.5.0Red Hat Enterprise Linux 5 (x64)/ Red Hat Enterprise Linux 6 (x64)-未定
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版)13.4.0/ 13.4.0ASolaris 9/ Solaris 10-発行予定あり
Systemwalker Service Quality Coordinator Enterprise Edition(Solaris 版)13.5.0Solaris 9/ Solaris 10-未定
Interstage Business Analytics Modeling Server[※1]
製品名バージョン対象OSパッケージ名Patch ID
Interstage Business Analytics Modeling ServerV1.0.0Windows Server 2008 R2/ Windows Server 2012-未定
Interstage Business Analytics Modeling ServerV1.0.0Red Hat Enterprise Linux 6-未定
Symfoware Analytics Server[※2]
製品名バージョン対象OSパッケージ名Patch ID
Symfoware Analytics Server Standard EditionV12.0.0Windows Server 2008 R2-未定
Symfoware Analytics Server Standard EditionV12.0.0Red Hat Enterprise Linux 6(Intel64)-未定

[※1]Interstage Business Analytics Modeling Server V1.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
[※2]Symfoware Analytics Server Standard Edition (64bit) V12.0.0では、Interstage Business Process Manager Analytics 12.1を同梱しています。
注意)修正情報などの入手は、 FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。

参考: 該当製品の確認方法

  • BPMA,BAMS,SymfoAS SEの場合
    • Windows版の場合
      1. [スタートボタン]から[すべてのプログラム]を選択し、ご利用になっている製品名のグループにある[ソフトウェア説明書]を開きます。
      2. [ソフトウェア説明書]の上部に製品名と共にバージョンレベルの記載があります。
    • Linux版の場合
      1. コンソール画面より以下のコマンドを入力します。
        #rpm -qi FJSVibpma
      2. コマンドの出力中にバージョンが表示されます。
    • Solaris版の場合
      1. コンソール画面より以下のコマンドを入力します。
        #pkginfo -l FJSVibpma
      2. コマンドの出力中にバージョンが表示されます。
  • SQC EE場合
    • Windows版の場合
      以下のレジストリキーの有無
      • 32bitの場合
        HKEY_LOCAL_MACHINE¥SOFTWARE¥Fujitsu¥INTS-BPMMW¥11.00.0001
      • 64bitの場合
        HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Fujitsu¥INTS-BPMMW¥11.00.0001
    • Solaris版の場合
      • パッケージ情報
        PKG=FJSVibpma
        NAME=Interstage Business Process Manager Analytics
        VERSION=11.1.0
        IBPMA_RELEASE=5
        PSTAMP=ymir20110222134804
    • Linux版の場合
      • パッケージ情報
        Summary: Interstage Business Process Manager Analytics
        Name: FJSVibpma
        Version: 11.1.0
        Release: 5

3-3. 回避方法

  • IPS(Intrusion Prevention System)製品を使用している場合は、次の正規表現に該当する文字列を含むパラメタのリクエストを拒否します。
    (^|¥¥W)[cC]lass¥¥W
  • サーブレットフィルタを実装して、BPMA, SQC EE, BAMS, SymfoAS SEへ適用します。
    1. 下記の例のようなJavaプログラムをコンパイルして、クラスファイルを作成する。

      [プログラムの例(クラス名は任意)]
      ------
      package com.fujitsu.patch;

      import javax.servlet.Filter;
      ...(省略)...
      import java.util.regex.Pattern;

      public class BPMStrutsFilter implements Filter {
          static Pattern EXCLUDE_PATTERN = Pattern.compile("(^|¥¥W)[cC]lass¥¥W");
          public void doFilter(ServletRequest req, ServletResponse res,
              FilterChain filter) throws IOException, ServletException {
            req.setCharacterEncoding("UTF-8");
            Enumeration params = ((HttpServletRequest)req).getParameterNames();
            while (params.hasMoreElements()) {
              String name = (String) params.nextElement();
              if (EXCLUDE_PATTERN.matcher(name).find()) {
                throw new IllegalArgumentException(name);
              }
            }
            filter.doFilter(req, res);
          }
          public void init(FilterConfig filterConfig) throws ServletException {
          }
          public void destroy() {
          }
        }

      ------
    2. BPMAのアプリケーションサーバ用warファイル展開先のWEB-INF配下に配置されているweb.xmlに対して、1)で作成したクラスをフィルタとして指定する。
      例えばInterstage J2EE(Linux)の場合:/var/opt/FJSVj2ee/deployment/ijserver/IBPMMServer/apps/ibpmm.war/WEB-INF
      [web.xml記入例(filter-nameに指定する名前は任意)]
      • BPMA V11.0/V11.1 ,SQC EE V13.4/V13.5の場合
        ------
        <web-app>
          ...
          <filter>
            <filter-name>BPMStrutsFilter</filter-name>
            <filter-class>com.fujitsu.patch.BPMStrutsFilter</filter-class>
          </filter>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>*.do</url-pattern>
          </filter-mapping>
          ...
        </web-app>
        ------
      • BPMA V12.0/V12.1/V12.2 , SQC EE V15.0/V15.1, BAMS, SymfoAS SEの場合
        以下のfilter-mapping要素は、他のfilter-mapping要素よりも
        先に記述する必要があります。
        ------
        <web-app>
        ...
          <filter>
            <filter-name>BPMStrutsFilter</filter-name>
            <filter-class>com.fujitsu.patch.BPMStrutsFilterit;/filter-class>
          </filter>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>/admintool/*</url-pattern>
          </filter-mapping>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>/dashboard/*</url-pattern>
          </filter-mapping>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>/mobile/*</url-pattern>
          </filter-mapping>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>/studio/*</url-pattern>
          </filter-mapping>
          <filter-mapping>
            <filter-name>BPMStrutsFilter</filter-name>
            <url-pattern>/struts/*</url-pattern>
          </filter-mapping>
            ...
        </web-app>
        ------
    3. ii)のWEB-INF配下に「classes」フォルダを作成し、そこにi)で作成したクラスファイルを以下のルールに従って配備する。
      classes配下のフォルダ階層は1)で作成したクラスのパッケージ名の階層に合わせて作成し、その配下に配備します。
      例)パッケージ名がcom.fujitsu.patchの場合1のクラスファイルの配備先は、classes¥com¥fujitsu¥patch
    4. BPMAのアプリケーションサーバを再起動して、設定を反映させる。
      • BAMS、SymfoAS SEのダッシュボード機能を使用している場合
        bpmstopコマンドを実行し、脆弱性の影響を受けるサービスを停止します。
        ただし、ダッシュボードが使用不可となります。
        bpmstopコマンドの詳細は、マニュアル「Interstage Business Process Manager Analytics V12.1」の「使用手引書(管理コンソール)」の「6.2.1.2 bpmstop」を参照してください。引数に指定するスーパーユーザーのパスワードには、「プレゼンテーション機能の管理者パスワード」を指定してください。

4. 関連情報

5. 改版履歴

  • 2014年6月3日 第2版
    • 「3-2. 該当製品・対策Patch」へ Interstage Business Process Manager Analytics 12.1 (Solaris 11)を追加
    • 「3-3. 回避方法」の記載誤りを訂正
  • 2014年5月19日 新規掲載

ページの先頭へ