Interstage List Works: 保管フォルダ・帳票のアクセス権の脆弱性 (2012年3月26日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

管理者ツールまたはコマンドで、保管フォルダ・帳票に対してユーザ名を指定してアクセス権を設定すると、このアクセス権が有効にならないことがある問題を検出しました。

Interstage List Worksについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/business-middleware/interstage/products/listworks/

富士通は、3-3. 回避方法を提供していますので、早急に対応願います。

2. 脆弱性のもたらす脅威

Everyoneまたはグループに許可型のアクセス権(注1)を設定し、これに属する特定のユーザに拒否型のアクセス権(注2)を設定すると、このユーザの拒否型のアクセス権(注2)が有効にならずに、Everyoneまたはグループの許可型のアクセス権(注1)が有効になります。
この結果、このユーザでList Worksサーバに接続すると、アクセス権がない帳票を参照できるようになり、帳票データの漏洩や、帳票の不当な削除の脅威が考えられます。

注1) 許可型のアクセス権設定とは、「グループAが帳票を参照できる」というアクセス権の設定方法
注2) 拒否型のアクセス権設定とは、「ユーザAが帳票を参照できない」というアクセス権の設定方法

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY, GP5000, FMシリーズ, その他(AT互換機)

3-2.該当製品・対策Patch

Interstage List Works
製品名バージョン対象OSPatch ID
Interstage List Works Enterprise EditionV7.0L10Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard EditionV7.0L10Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise EditionV7.0L10AWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard EditionV7.0L10AWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise EditionV7.0L10BWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard EditionV7.0L10BWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise EditionV7.0L10CWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard EditionV7.0L10CWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise EditionV7.0L10DWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard EditionV7.0L10DWindows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise Edition8.0.0Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard Edition8.0.0Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise Edition8.0.1Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Standard Edition8.0.1Windows 2000 Server/ Windows Server 2003発行予定なし
Interstage List Works Enterprise EditionV9.0.1Windows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Standard EditionV9.0.1Windows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Enterprise EditionV9.0.1AWindows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Standard EditionV9.0.1AWindows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Enterprise EditionV9.1.0Windows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Standard EditionV9.1.0Windows 2000 Server/ Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Enterprise EditionV10.0.0Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Standard EditionV10.0.0Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Enterprise EditionV10.1.0Windows Server 2003 / Windows Server 2008発行予定なし
Interstage List Works Standard EditionV10.1.0Windows Server 2003 / Windows Server 2008発行予定なし

参考: 該当製品の確認方法

製品のバージョンを確認するには、製品に添付されている「ソフトウェア説明書」を参照してください。

3-3. 回避方法

以下の方法で回避してください。

  1. Everyoneのアクセス権を設定している場合
    以下の方法でアクセス権を設定しなおしてください。
    1. Everyoneのアクセス権を削除する、かつ
    2. 権限を与えるユーザのグループを作成する(権限を与えないユーザは含めない)、かつ
    3. ⅱ)のグループに許可型のアクセス権を設定する
  2. グループのアクセス権を設定している場合
    権限を与えないユーザをグループからはずしてください。

4. 関連情報

ありません。

5. 改版履歴

  • 2012年3月26日 新規掲載

ページの先頭へ