ページの本文へ

Hitachi

uCosminexus Application Serverでセッションフェイルオーバ機能使用時にセッション情報が不正になる問題

2011.03.07 更新

uCosminexus Application Serverに,脆弱性が存在することが判明しました。この脆弱性により,使用中のセッション情報が他のユーザのセッション情報として使用される可能性があります。

脆弱性ID

HS07-024

脆弱性の内容

下記製品の構成製品である Cosminexus Component Container にて,使用中のセッション情報が他のユーザのセッション情報として使用される可能性があります。

■Cosminexus V7, V6.7

  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Standard
  • uCosminexus Service Platform
  • uCosminexus Developer Standard
  • uCosminexus Developer Professional
  • uCosminexus Developer Light
  • uCosminexus Service Architect

■Cosminexus V6

  • Cosminexus Application Server Enterprise Version 6
  • Cosminexus Application Server Standard Version 6
  • Cosminexus Developer Standard Version 6
  • Cosminexus Developer Professional Version 6
  • Cosminexus Developer Light Version 6

■Cosminexusを含む製品

  • 電子フォームワークフロー スタンダードセット(*1)
  • 電子フォームワークフロー プロフェッショナル Libraryセット(*1)
  • 電子フォームワークフロー ディベロッパ クライアントセット(*1)
  • uCosminexus ERP Integrator(*1)
  • Cosminexus ERP Integrator(*1)
  • uCosminexus Collaboration - Server(*1)
  • Cosminexus Collaboration - Server(*1)
  • Groupmax Collaboration - Server(*1)
  • uCosminexus/OpenTP1 Web フロントエンドセット(*1)
  • Cosminexus/OpenTP1 Web フロントエンドセット(*1)

セッションフェイルオーバ機能にて,ログイン中の他のユーザのセッション情報を使用する可能性があります。他人のセッション情報を参照した場合,ログイン中の他人の情報を表示してしまう,またはデータベースの他人の登録情報を更新してしまうことがあります。
お客様の環境でセッションフェイルオーバ機能をご使用の場合,影響を受けるバージョンを下記に示しますので,対策版の適用をお願いいたします。

*1
本製品に含まれるuCosminexus Application Server StandardまたはuCosminexus Developer Standardが該当します。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム
脆弱性が含まれるバージョン

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Windows
07-00 - 07-00-03, 07-10 - 07-10-01, 07-20 - 07-20-01
Linux
07-00 - 07-00-01, 07-10
Linux(IPF)
07-10 - 07-10-01
AIX
07-00, 07-10
HP-UX
07-10
HP-UX(IPF)
07-00, 07-10
Solaris
07-00 - 07-00-01

対象製品名 : uCosminexus Service Platform

対象バージョン :

Windows
07-00 - 07-00-03, 07-10 - 07-10-01, 07-20 - 07-20-01
Linux
07-00, 07-10
AIX
07-10

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows
07-00 - 07-00-03, 07-10 - 07-10-01, 07-20 - 07-20-01

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Windows
06-70 - 06-70-/C, 06-71 - 06-71-/C
Windows(IPF)
06-70 - 06-70-/A(*2)
Linux
06-70 - 06-70-/C, 06-71 - 06-71-/C
Linux(IPF)
06-70 - 06-70-/C
AIX
06-70 - 06-70-/F
HP-UX
06-70 - 06-70-/C, 06-72 - 06-72-/A
HP-UX(IPF)
06-70 - 06-70-/J
Solaris
06-70 - 06-70-/C

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Light

対象バージョン :

Windows
06-70 - 06-70-/C, 06-71 - 06-71-/C

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対象バージョン :

Windows
06-50 - 06-50-/E(*2), 06-51 - 06-51-/H(*2)
Linux
06-50 - 06-50-/C(*2), 06-51 - 06-51-/D(*2)
Linux(IPF)
06-50 - 06-50-/B(*2), 06-51 - 06-51-/B(*2)
AIX
06-50 - 06-50-/F
HP-UX
06-50 - 06-50-/E(*2)
HP-UX(IPF)
06-50 - 06-50-/D(*2)
Solaris
06-50 - 06-50-/C(*2)

対象製品名 : Cosminexus Developer Standard Version 6
対象製品名 : Cosminexus Developer Professional Version 6
対象製品名 : Cosminexus Developer Light Version 6

対象バージョン :

Windows
06-50 - 06-50-/E(*2), 06-51 - 06-51-/H(*2)

■Cosminexusを含む製品

対象製品名 : 電子フォームワークフロー スタンダードセット
対象製品名 : 電子フォームワークフロー プロフェッショナル Libraryセット

対象バージョン :

Windows
06-70-/D, 07-00-/B, 07-10, 07-11 - 07-11-/A
Linux
07-00-/B, 07-10

対象製品名 : 電子フォームワークフロー ディベロッパ クライアントセット

対象バージョン :

Windows
06-70-/D, 07-00-/B, 07-10, 07-11 - 07-11-/A

対象製品名 : uCosminexus ERP Integrator

対象バージョン :

Windows
01-02, 02-00

対象製品名 : Cosminexus ERP Integrator

対象バージョン :

Windows
01-02(*2)

対象製品名 : uCosminexus Collaboration - Server

対象バージョン :

Windows
06-20-/D, 06-30-/D

対象製品名 : Cosminexus Collaboration - Server

対象バージョン :

Windows
06-10-/E(*2)

対象製品名 : Groupmax Collaboration - Server

対象バージョン :

Windows
07-10-/E(*2), 07-20-/D, 07-30-/D

対象製品名 : uCosminexus/OpenTP1 Web フロントエンドセット

対象バージョン :

Windows
02-70

対象製品名 : Cosminexus/OpenTP1 Web フロントエンドセット

対象バージョン :

Windows
02-50 - 02-50-/A(*2)
*2
本バージョンをお使いの方は,サポートサービス窓口へご相談願います。

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム
脆弱性の対策バージョン 対策版提供日

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard
対象製品名 : uCosminexus Service Platform
対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Service Architect

上記対象製品に含まれる,脆弱性対策製品名(*3) :

  • Cosminexus Component Container

脆弱性対策製品の対策バージョン(*9) :

Windows
07-00-13 2007.06.27
07-10-08 2007.06.08
Linux
07-00-13 2007.07.02
07-10-08 2007.06.08
Linux(IPF)
07-10-08 2007.06.14
AIX
07-00-13 2007.07.02
07-10-08 2007.06.14
HP-UX
07-10-08 2007.06.01
HP-UX(IPF)
07-00-13 2007.07.02
07-10-08 2007.06.01
Solaris
07-00-13 2007.07.02

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対策バージョン :

Windows
06-70-/D 2007.08.02
06-71-/D 2007.07.25
Linux
06-70-/D 2007.08.03
06-71-/D 2007.07.26
Linux(IPF)
06-70-/D 2007.08.30
AIX
06-70-/G 2007.09.12
HP-UX
06-70-/D 2007.11.01
06-72-/B 2007.10.15
HP-UX(IPF)
06-70-/K 2007.10.01
Solaris
06-70-/D 2007.09.20

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Light

対策バージョン :

Windows
06-70-/D 2007.08.02
06-71-/D 2007.07.25

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対策バージョン :

AIX
06-50-/G 2007.06.21

■Cosminexusを含む製品

対象製品名 : 電子フォームワークフロー スタンダードセット
対象製品名 : 電子フォームワークフロー プロフェッショナル Libraryセット

上記対象製品に含まれる,脆弱性対策製品名(*3)(*4)(*6) :

  • Cosminexus Component Container
  • uCosminexus Application Server Standard

脆弱性対策製品の対策バージョン(*9) :

Windows
07-10-08 2007.06.08
07-00-13 2007.06.27
Linux
07-10-08 2007.06.08
07-00-13 2007.07.02

脆弱性対策製品の対策バージョン(*10) :

Windows
06-71-/D 2007.07.25

対象製品名 : 電子フォームワークフロー ディベロッパ クライアントセット

上記対象製品に含まれる,脆弱性対策製品名(*3)(*5)(*7) :

  • Cosminexus Component Container
  • uCosminexus Developer Light

脆弱性対策製品の対策バージョン(*9) :

Windows
07-10-08 2007.06.08
07-00-13 2007.06.27

脆弱性対策製品の対策バージョン(*11) :

Windows
06-71-/D 2007.07.25

対象製品名 : uCosminexus ERP Integrator

上記対象製品に含まれる,脆弱性対策製品名(*3)(*4)(*8) :

  • Cosminexus Component Container
  • uCosminexus Application Server Standard

脆弱性対策製品の対策バージョン(*9) :

Windows
07-00-13 2007.06.27

脆弱性対策製品の対策バージョン(*10) :

Windows
06-70-/D 2007.08.02

対象製品名 : uCosminexus Collaboration - Server

上記対象製品に含まれる,脆弱性対策製品名(*4) :

  • uCosminexus Application Server Standard

脆弱性対策製品の対策バージョン(*10) :

Windows
06-70-/D 2007.08.02
06-71-/D 2007.07.25

対象製品名 : Groupmax Collaboration - Server

上記対象製品に含まれる,脆弱性対策製品名(*4) :

  • uCosminexus Application Server Standard

脆弱性対策製品の対策バージョン(*10) :

Windows
06-70-/D 2007.08.02
06-71-/D 2007.07.25

対象製品名 : uCosminexus/OpenTP1 Web フロントエンドセット

上記対象製品に含まれる,脆弱性対策製品名(*4) :

  • uCosminexus Application Server Standard

脆弱性対策製品の対策バージョン(*10) :

Windows
06-70-/D 2007.08.02

セキュリティ対策版は改良版にて提供いたします。
「改良版の提供について」のWebページをご参照いただき,手順に従ってご入手ください。
(改良版の入手にはサポートサービスの契約が必要です)

*3
構成製品であるCosminexus Component Containerにて,脆弱性対策を行っております。構成製品の対策版を適用願います。
*4
構成製品であるuCosminexus Application Server Standardにて,脆弱性対策を行っております。構成製品の対策版を適用願います。
*5
構成製品であるuCosminexus Developer Lightにて,脆弱性対策を行っております。構成製品の対策版を適用願います。
*6
対象製品の07-00-/B以降に対しては,Cosminexus Component Containerの対策版を適用願います。対象製品の06-70-/Dに対しては,uCosminexus Application Server Standardの対策版を適用願います。
*7
対象製品の07-00-/B以降に対しては,Cosminexus Component Containerの対策版を適用願います。対象製品の06-70-/Dに対しては,uCosminexus Developer Lightの対策版を適用願います。
*8
対象製品の02-00に対しては,Cosminexus Component Containerの対策版を適用願います。対象製品の01-02に対しては,uCosminexus Application Server Standardの対策版を適用願います。
*9
構成製品であるCosminexus Component Containerのバージョンです。
*10
構成製品であるuCosminexus Application Server Standardのバージョンです。
*11
構成製品であるuCosminexus Developer Lightのバージョンです。

更新履歴

2011.03.07
[対象製品], [対策版の提供]を更新しました。
2008.02.27
[対策版の提供]にて,対策バージョンの情報を更新しました。
2007.08.24
[対策版の提供]にて,対策バージョンの情報を更新しました。
2007.07.06
このセキュリティ情報ページを新規作成および発信しました。
  • 弊社では,セキュリティ対応に関して正確な情報を提供するよう努力しておりますが,セキュリティ問題に関する情報は変化しており,当ホームページで記載している内容を予告なく変更することがありますので,あらかじめご了承ください。情報ご参照の際には,常に最新の情報をご確認いただくようお願いします。
  • 当ホームページに記載されている製品には,他社開発製品が含まれております。これらのセキュリティ情報については他社から提供,または公開された情報を基にしております。弊社では,情報の正確性および完全性について注意を払っておりますが,開発元の状況変化に伴い,当ホームページの記載内容に変更が生じることがあります。
  • 当ホームページはセキュリティ情報の提供を目的としたものであり,法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして,弊社では責任を負いかねます。
  • 当ホームページから他サイトのページへのリンクアドレスは情報発信時のものです。他サイトでの変更などを発見した場合には、リンク切れ等にならないように努力はいたしますが、永続的にリンク先を保証するものではありません。