1. ホーム
  2. 製品
  3. ソフトウェア
  4. ライブラリー
  5. インフォメーション&ダウンロード
  6. ソフトウェア セキュリティ
  7. Security Director/Traffic Director/InfoProxy: HTTP Response Splittingの問題(2005年8月25日)

Security Director/Traffic Director/InfoProxy: HTTP Response Splittingの問題(2005年8月25日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点:HTTP Response Splittingの問題
製品提供元:富士通株式会社
該当製品:
対象OS製品名
Solaris 2.4InfoProxy 1.1, 1.2
Solaris 2.5InfoProxy 1.1, 1.2
Solaris 2.5.1InfoProxy 1.1, 1.2, 2.0
Solaris 2.6InfoProxy 2.0, 3.0, 3.1, 3.2
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1
INTERSTAGE Traffic Director 3.0, 3.1
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1
Solaris 7InfoProxy 2.0, 3.0, 3.1, 3.2
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1
INTERSTAGE Traffic Director 3.0, 3.1
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1
Interstage Security Director 5.0, 5.1
Interstage Traffic Director Enterprise Edition 5.0, 5.1
Interstage Traffic Director Standard Edition 5.0, 5.1
Solaris 8InfoProxy 3.0, 3.1, 3.2
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1
INTERSTAGE Traffic Director 3.0, 3.1
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1
Interstage Security Director 5.0, 5.1, 6.0
Interstage Traffic Director Enterprise Edition 5.0, 5.1, 6.0, 7.0
Interstage Traffic Director Standard Edition 5.0, 5.1, 6.0, 7.0
Solaris 9Interstage Security Director 5.0, 5.1, 6.0
Interstage Traffic Director Enterprise Edition 5.0, 5.1, 6.0, 7.0
Interstage Traffic Director Standard Edition 5.0, 5.1, 6.0, 7.0
Windows NT Server 3.51InfoProxy V1.2L10, V2.0L10
Windows NT Server 4.0InfoProxy V1.2L10, V2.0L10, V3.0L10, V3.0L20
INTERSTAGE Security Director V3.0L10, V3.0L20, V4.0L10, V4.0L20
Interstage Security Director V5.0L10, V5.0L20
INTERSTAGE Traffic Director V3.0L10, V3.0L20
INTERSTAGE Traffic Director Enterprise Edition V4.0L10, V4.0L20
INTERSTAGE Traffic Director Standard Edition V4.0L10, V4.0L20
Interstage Traffic Director Enterprise Edition V5.0L10, V5.0L20
Interstage Traffic Director Standard Edition V5.0L10, V5.0L20
Windows 2000 ServerInfoProxy V3.0L20
INTERSTAGE Security Director V3.0L10, V3.0L20, V4.0L10, V4.0L20
Interstage Security Director V5.0L10, V5.0L20, V6.0L10
INTERSTAGE Traffic Director V3.0L10, V3.0L20
INTERSTAGE Traffic Director Enterprise Edition V4.0L10, V4.0L20
INTERSTAGE Traffic Director Standard Edition V4.0L10, V4.0L20
Interstage Traffic Director Enterprise Edition V5.0L10, V5.0L20, V6.0L10, V7.0L10
Interstage Traffic Director Standard Edition V5.0L10, V5.0L20, V6.0L10, V7.0L10
Windows Server 2003Interstage Security Director V6.0L10
Interstage Traffic Director Enterprise Edition V6.0L10, V7.0L10
Interstage Traffic Director Standard Edition V6.0L10, V7.0L10
Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)		Interstage Security Director V6.0L10
Interstage Traffic Director Enterprise Edition V5.0L20
Interstage Traffic Director Standard Edition V5.0L20
Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		Interstage Security Director V6.0L10
Interstage Traffic Director Enterprise Edition V6.0L10, V7.0L10
Interstage Traffic Director Standard Edition V6.0L10, V7.0L10
UXP/DS V20InfoProxy V11L10, V11L20, V12L10
該当システム:GP7000S, PRIMEPOWER/GP7000F(Solaris版)
FM-V, PRIMERGY/GP5000(Windows版)
PRIMERGY/GP5000(Linux版)
DS/90(DS版)
システムへの影響:クライアントからの不正な要求を脆弱性のあるWebサーバに中継した場合、 以下のセキュリティ問題が発生する可能性がある (HTTP Response Splitting問題)。
 ・意図しないコンテンツが他の利用者に通知される。
 ・他の利用者が要求したコンテンツが悪意のあるクライアントに通知される。
一時的な回避方法:4.に示します。
パッチ:あり(提供範囲は「5.パッチ情報」を参照)

1. 背景

 Interstage Security DirectorのHTTPアプリケーションゲートウェイ機能、Interstage Traffic Directorのキャッシュ機能、およびInfoProxyにおいて、クライアントからの不正な 要求を脆弱性のあるWebサーバに中継した場合、以下のセキュリティ問題が発生する可能性が あります (HTTP Response Splitting問題)。
  ・意図しないコンテンツが他の利用者に通知される。
  ・他の利用者が要求したコンテンツが悪意のあるクライアントに通知される。

2. 該当システムの範囲

該当コマンド/ファイル製品名対象OS
/opt/FSUNproxy/sbin/proxy_svrd
InfoProxy 1.1, 1.2Solaris 2.4, 2.5, 2.5.1
/opt/FSUNproxy/sbin/proxy_svrd
InfoProxy 2.0Solaris 2.5.1, 2.6, 7
/opt/FSUNproxy/sbin/proxy_svrd
InfoProxy 3.0, 3.1, 3.2Solaris 2.6, 7, 8
/opt/FSUNproxy/sbin/proxy_svrd
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1Solaris 2.6, 7, 8
/opt/FSUNproxy/sbin/proxy_svrd
INTERSTAGE Traffic Director 3.0, 3.1Solaris 2.6, 7, 8
/opt/FSUNproxy/sbin/proxy_svrd
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1Solaris 2.6, 7, 8
/opt/FSUNproxy/sbin/proxy_svrd
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1Solaris 2.6, 7, 8
/opt/FSUNproxy/sbin/proxy_svrdInterstage Security Director 5.0, 5.1Solaris 7, 8, 9
/opt/FSUNproxy/sbin/proxy_svrdInterstage Traffic Director Enterprise Edition 5.0, 5.1Solaris 7, 8, 9
/opt/FSUNproxy/sbin/proxy_svrdINTERSTAGE Traffic Director Standard Edition 5.0, 5.1Solaris 7, 8, 9
/opt/FSUNproxy/sbin/proxy_svrdInterstage Security Director 6.0Solaris 8, 9
/opt/FSUNproxy/sbin/proxy_svrdInterstage Traffic Director Enterprise Edition 6.0, 7.0Solaris 8, 9
/opt/FSUNproxy/sbin/proxy_svrdInterstage Traffic Director Standard Edition 6.0, 7.0Solaris 8, 9
$INSTDIR¥program¥proxy_svrd.exeInfoProxy V1.2L10, V2.0L10Windows NT Server 3.51
Windows NT Server 4.0
$INSTDIR¥program¥proxy_svrd.exeInfoProxy V3.0L10Windows NT Server 4.0
$INSTDIR¥program¥proxy_svrd.exeInfoProxy V3.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeINTERSTAGE Security Director V3.0L10, V3.0L20, V4.0L10, V4.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeINTERSTAGE Traffic Director V3.0L10, V3.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeINTERSTAGE Traffic Director Enterprise Edition V4.0L10,V4.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeINTERSTAGE Traffic Director Standard Edition V4.0L10,V4.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeInterstage Security Director V5.0L10, V5.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeInterstage Traffic Director Enterprise Edition V5.0L10,V5.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeInterstage Traffic Director Standard Edition V5.0L10,V5.0L20Windows NT Server 4.0
Windows 2000 Server
$INSTDIR¥program¥proxy_svrd.exeInterstage Security Director V6.0L10Windows 2000 Server
Windows Server 2003
$INSTDIR¥program¥proxy_svrd.exeInterstage Traffic Director Enterprise Edition V6.0L10,V7.0L10Windows 2000 Server
Windows Server 2003
$INSTDIR¥program¥proxy_svrd.exeInterstage Traffic Director Standard Edition V6.0L10,V7.0L10Windows 2000 Server
Windows Server 2003
/opt/FJSVproxy/sbin/proxy_svrdInterstage Security Director V6.0L10Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)
Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)
/opt/FJSVproxy/sbin/proxy_svrdInterstage Traffic Director Enterprise Edition V5.0L20Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)
/opt/FJSVproxy/sbin/proxy_svrdInterstage Traffic Director Standard Edition V5.0L20Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)
/opt/FJSVproxy/sbin/proxy_svrdInterstage Traffic Director Enterprise Edition V6.0L10,V7.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)
/opt/FJSVproxy/sbin/proxy_svrdInterstage Traffic Director Standard Edition V6.0L10,V7.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)
/opt/uxpproxy/sbin/proxy_svrdInfoProxy V11L10, V11L20, V12L10UXP/DS V20

 なお、InfoProxy 1.0 (Solaris), V1.1L10 (Windows), および、V10L20以前 (UXP/DS) の製品については、本問題は該当しません。

3. 発見されている問題点

 クライアントからの不正な要求を脆弱性のあるWebサーバに中継した場合、以下のセキュリティ 問題が発生する可能性があります (HTTP Response Splitting問題)。
  ・意図しないコンテンツが他の利用者に通知される。
  ・他の利用者が要求したコンテンツが悪意のあるクライアントに通知される。

4. 一時的な回避方法

 接続先サーバが不特定の場合は、以下の対処にて回避する。
  - HTTPコネクションキャッシュ機能の使用を停止、かつ
  - Keep-Alive機能の使用を停止

 接続先サーバが固定、かつ信用できるサイトの場合は、以下の対処にて回避する。
  - HTTPコネクションキャッシュ機能の使用を停止

 補足) 上記回避方法を実施した場合は、通信性能が若干劣化する場合があります。

5. パッチ情報

製品名対象OSパッケージ名Patch ID
InfoProxy 1.1Solaris 2.4, 2.5, 2.5.1FSUNproxy910070-04
InfoProxy 1.2Solaris 2.4, 2.5, 2.5.1FSUNproxy910071-03
InfoProxy 2.0Solaris 2.5.1, 2.6, 7FSUNproxy910072-04
InfoProxy 3.0Solaris 2.6, 7, 8FSUNproxy910106-04
InfoProxy 3.1Solaris 2.6, 7, 8FSUNproxy910310-04
InfoProxy 3.2Solaris 2.6, 7, 8FSUNproxy910688-08
INTERSTAGE Security Director 3.0Solaris 2.6, 7, 8FSUNproxy911676-02
INTERSTAGE Security Director 3.1Solaris 2.6, 7, 8FSUNproxy911678-02
INTERSTAGE Security Director 4.0Solaris 2.6, 7, 8FSUNproxy911661-02
INTERSTAGE Security Director 4.1Solaris 2.6, 7, 8FSUNproxy911680-02
Interstage Security Director 5.0Solaris 7, 8, 9FSUNproxy914082-01
Interstage Security Director 5.1Solaris 7, 8, 9FSUNproxy913780-03
Interstage Security Director 6.0Solaris 8, 9FSUNproxyT0102S-02
INTERSTAGE Traffic Director 3.0Solaris 2.6, 7, 8FSUNproxy911676-02
INTERSTAGE Traffic Director 3.1Solaris 2.6, 7, 8FSUNproxy911679-02
INTERSTAGE Traffic Director Enterprise Edition 4.0Solaris 2.6, 7, 8FSUNproxy911666-02
INTERSTAGE Traffic Director Standard Edition 4.0Solaris 2.6, 7, 8FSUNproxy911666-02
INTERSTAGE Traffic Director Enterprise Edition 4.1Solaris 2.6, 7, 8FSUNproxy911681-02
INTERSTAGE Traffic Director Standard Edition 4.1Solaris 2.6, 7, 8FSUNproxy911681-02
Interstage Traffic Director Enterprise Edition 5.0Solaris 7, 8, 9FSUNproxy914083-01
Interstage Traffic Director Standard Edition 5.0Solaris 7, 8, 9FSUNproxy914083-01
Interstage Traffic Director Enterprise Edition 5.1Solaris 7, 8, 9FSUNproxy914081-01
Interstage Traffic Director Standard Edition 5.1Solaris 7, 8, 9FSUNproxy914081-01
Interstage Traffic Director Enterprise Edition 6.0Solaris 8, 9FSUNproxyT015GS-01
Interstage Traffic Director Standard Edition 6.0Solaris 8, 9FSUNproxyT015GS-01
Interstage Traffic Director Enterprise Edition 7.0Solaris 8, 9FSUNproxyT015GS-01
Interstage Traffic Director Standard Edition 7.0Solaris 8, 9FSUNproxyT015GS-01
InfoProxy V1.2L10Windows NT Server 3.51
Windows NT Server 4.0		INFOPROXYTP97739
InfoProxy V2.0L10Windows NT Server 3.51
Windows NT Server 4.0		INFOPROXYTP87739
InfoProxy V3.0L10Windows NT Server 4.0INFOPROXYTP77739
InfoProxy V3.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP67739
INTERSTAGE Security Director V3.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP67739
INTERSTAGE Security Director V3.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP57739
INTERSTAGE Security Director V4.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP47739
INTERSTAGE Security Director V4.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP37739
Interstage Security Director V5.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP27739
Interstage Security Director V5.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP17739
Interstage Security Director V6.0L10Windows 2000 Server
Windows Server 2003		INFOPROXYTP07739
INTERSTAGE Traffic Director V3.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP67739
INTERSTAGE Traffic Director V3.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP57739
INTERSTAGE Traffic Director Enterprise Edition V4.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP47739
INTERSTAGE Traffic Director Standard Edition V4.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP47739
INTERSTAGE Traffic Director Enterprise Edition V4.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP37739
INTERSTAGE Traffic Director Standard Edition V4.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP37739
Interstage Traffic Director Enterprise Edition V5.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP27739
Interstage Traffic Director Standard Edition V5.0L10Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP27739
Interstage Traffic Director Enterprise Edition V5.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP17739
Interstage Traffic Director Standard Edition V5.0L20Windows NT Server 4.0
Windows 2000 Server		INFOPROXYTP17739
Interstage Traffic Director Enterprise Edition V6.0L10Windows 2000 Server
Windows Server 2003		INFOPROXYTP07739
Interstage Traffic Director Standard Edition V6.0L10Windows 2000 Server
Windows Server 2003		INFOPROXYTP07739
Interstage Traffic Director Enterprise Edition V7.0L10Windows 2000 Server
Windows Server 2003		INFOPROXYTP07739
Interstage Traffic Director Standard Edition V7.0L10Windows 2000 Server
Windows Server 2003		INFOPROXYTP07739
Interstage Security Director V6.0L10Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)
Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		FJSVproxyT00570-02
Interstage Traffic Director Enterprise Edition V5.0L20Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)		FJSVproxyT00652-01
Interstage Traffic Director Standard Edition V5.0L20Red Hat Enterprise Linux AS (v.2.1 for x86)
Red Hat Enterprise Linux ES (v.2.1 for x86)		FJSVproxyT00652-01
Interstage Traffic Director Enterprise Edition V6.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		FJSVproxyT00570-02
Interstage Traffic Director Standard Edition V6.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		FJSVproxyT00570-02
Interstage Traffic Director Enterprise Edition V7.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		FJSVproxyT00570-02
Interstage Traffic Director Standard Edition V7.0L10Red Hat Enterprise Linux AS (v.3 for x86)
Red Hat Enterprise Linux ES (v.3 for x86)		FJSVproxyT00570-02
InfoProxy V11L10UXP/DS V20uxpproxyTY05894
InfoProxy V11L20UXP/DS V20uxpproxyTY15894
InfoProxy V12L10UXP/DS V20uxpproxyTY25894

お手数ですが、本修正の入手方法など詳細に関しましては、当社サポート窓口にお問い合わせください。

6. 改版履歴

  • 2005年8月25日 新規掲載

ページの先頭へ