Symfoware Server(Openインタフェース): Strutsの脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116) (2014年6月2日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Symfoware Server(Openインタフェース)のWebAdminで基盤として利用しているStrutsに おいて、Javaクラスローダーを外部から操作可能な脆弱性が確認されました。
該当製品を利用しているだけでは、脆弱性の影響を受けることはありません。
WebAdminを利用している場合のみ影響を受ける可能性があります。
本脆弱性の問題は、CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0116に該当します。

Symfoware Serverについては以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/middleware/database/symfoware/products/symfowareserver/

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

この脆弱性により、インターネット経由で本脆弱性の悪用を目的とした特別なリクエストを 受け取った場合、WebAdminによる操作が正常に行えなくなる、あるいは、サーバ上の任意のファイル を読み取られるなど様々な被害を受ける可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNおよびIPAの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMV, PRIMEPOWER, GP7000F, GP-S, 富士通 S Series, SPARC Enterprise, SPARC M10

3-2.該当製品・対策Patch

Symfoware Server
製品名バージョン対象OSパッケージ名Patch ID
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/V12.0.0ASolaris 10/ 11FJSVsymdb12006T009317SP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0ASolaris 10/ 11FJSVsymdb12006T009317SP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/V12.0.0AWindows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012-T009320WP-01[※1]
T009323XP-01[※2]
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0AWindows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012-T009320WP-01[※1]
T009323XP-01[※2]
Symfoware Server Lite Edition(Openインタフェース)V12.0.0RHEL5(x86)FJSVsymdb12003T009328LP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0RHEL6(x86)FJSVsymdb12003T009329LP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL5(x86)FJSVsymdb12003T009328LP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL6(x86)FJSVsymdb12003T009329LP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL5(Intel64)FJSVsymdb12006T009334LP-01
Symfoware Server Lite Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL6(Intel64)FJSVsymdb12006T009335LP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL5(Intel64)FJSVsymdb12006T009334LP-01
Symfoware Server Standard Edition(Openインタフェース)V12.0.0/V12.0.0ARHEL6(Intel64)FJSVsymdb12006T009335LP-01
  • [※1] 32bitモジュールに対するパッチです。
  • [※2] 64bitモジュールに対するパッチです。
  • 修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDeskの契約が必要です。お問い合わせは SupportDesk からお願いします。

参考: 該当製品の確認方法

製品のバージョンは、製品に添付されている「ソフトウェア説明書」で確認してください。

3-3. 回避方法

回避方法はありません。

4. 関連情報

      ※本情報には、Struts1に関しても記載されていますが、Symfoware Server Lite Edition および Symfoware Server Standard Editionには影響ありません。

5. 改版履歴

  • 2014年6月2日 新規掲載

ページの先頭へ