Cosminexus Application Serverで不要なグループ権限を追加する問題

2011.03.07 更新

Cosminexus Application Serverに含まれるCosminexus Managerから，論理J2EEサーバ，または論理ユーザサーバを起動すると，起動されたサーバプロセスに異なるユーザのグループ権限が不当に追加される可能性があります。その結果，起動されたサーバプロセスから，本来アクセス権限を与えられていないファイル・ディレクトリに対して，不当にアクセスが可能になる可能性があります。

脆弱性ID

HS07-025

脆弱性の内容

Cosminexus Application Serverに含まれるCosminexus Managerから次の論理サーバを起動すると，起動されたサーバプロセスに異なるユーザのグループ権限が不当に追加される可能性があります。

J2EEサーバ

【対象VR： 06-50以降，06-51以降，06-70以降，06-71以降，07-00以降，07-10以降】
Component Container管理者を設定している場合，Management ServerからJ2EEサーバを起動すると，上記の現象が発生します。

ユーザサーバ

【対象VR： 07-00以降，07-10以降】
ユーザサーバ定義ファイルのuser-id，group-idタグを定義している場合，Management Serverからユーザサーバを起動すると，上記の現象が発生します。

影響を受けるバージョンを下記に示しますので，対策版の適用をお願いいたします。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

対象製品名 : uCosminexus Application Server Enterprise(*2)
対象製品名 : uCosminexus Application Server Standard(*2)

対象バージョン :

Linux

07-00 - 07-00-01, 07-10

AIX

07-00, 07-10

Solaris

07-00

HP-UX

07-10

Linux(IPF)

07-10

HP-UX(IPF)

07-00, 07-10

対象製品名 : uCosminexus Service Platform(*2)

対象バージョン :

Linux

07-00, 07-10

AIX

07-10

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Linux

06-70 - 06-70-/B(*1), 06-71 - 06-71-/B

AIX

06-70 - 06-70-/D

Solaris

06-70 - 06-70-/C

HP-UX

06-70 - 06-70-/C, 06-72 - 06-72-/A

Linux(IPF)

06-70 - 06-70-/B

HP-UX(IPF)

06-70 - 06-70-/G

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対象バージョン :

Linux

06-50 - 06-50-/C(*1), 06-51 - 06-51-/C

AIX

06-50 - 06-50-/F

Solaris

06-50 - 06-50-/C(*1)

HP-UX

06-50 - 06-50-/E(*1)

Linux(IPF)

06-50 - 06-50-/B(*1), 06-51 - 06-51-/B(*1)

HP-UX(IPF)

06-50 - 06-50-/C(*1)

対象製品名 : 電子フォームワークフロー スタンダードセット
対象製品名 : 電子フォームワークフロー プロフェッショナル Libraryセット

対象バージョン :

Linux

07-00 - 07-00-/B

*1

本バージョンをお使いの方は，サポートサービス窓口へご相談願います。

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

対象製品名 : uCosminexus Application Server Standard(*2)
対象製品名 : uCosminexus Application Server Enterprise(*2)

対策バージョン(*4)(*5) :

Linux(IPF)

07-10-01 2007.05.21

構成製品Cosminexus Component Containerの対策バージョン(*4)(*5) :

Linux

07-00-12 2007.04.02

07-10-06 2007.03.29

AIX

07-00-12 2007.04.02

07-10-06 2007.03.29

Solairs

07-00-12 2007.05.23

HP-UX

07-10-08 2007.06.01

Linux(IPF)

07-10-06 2007.03.27

HP-UX(IPF)

07-00-12 2007.05.23

07-10-08 2007.06.01

対象製品名 : uCosminexus Service Platform(*2)

構成製品Cosminexus Component Containerの対策バージョン(*4)(*5) :

Linux

07-00-12 2007.04.02

07-10-06 2007.03.29

AIX

07-10-06 2007.03.29

対象製品名 : uCosminexus Application Server Standard
対象製品名 : uCosminexus Application Server Enterprise

対策バージョン(*4) :

Linux

06-71-/C 2007.05.21

AIX

06-70-/E 2007.04.02

Linux(IPF)

06-70-/C 2007.06.05

HP-UX(IPF)

06-70-/I 2007.05.29

Solaris

06-70-/D 2007.09.20

HP-UX

06-70-/D 2007.11.01

06-72-/B 2007.10.15

対象製品名 : Cosminexus Application Server Standard Version 6
対象製品名 : Cosminexus Application Server Enterprise Version 6

対策バージョン(*4) :

Linux

06-51-/D 2007.05.07

AIX

06-50-/G 2007.06.21

対象製品名 : 電子フォームワークフロー スタンダードセット(*3)
対象製品名 : 電子フォームワークフロー プロフェッショナル Libraryセット(*3)

構成製品Cosminexus Component Containerの対策バージョン(*4)(*5) :

Linux

07-00-12 2007.04.02

*2

本製品をお使いの方は，本製品の対策版を適用するか，構成製品であるCosminexus Component Containerの対策版を適用することによって対策可能です。適用すべきCosminexus Component Containerの対策バージョンの詳細については，サポートサービス窓口へご相談願います。

*3

本製品をお使いの方は，構成製品であるCosminexus Component Containerの対策版を適用することによって対策可能です。適用すべきCosminexus Component Containerの対策バージョンの詳細については，サポートサービス窓口へご相談願います。

*4

本修正を適用すると，J2EEサーバプロセスのグループ権限はComponent Container管理者グループ，および Component Container管理者ユーザの所属するグループのみになります。そのため，J2EEアプリケーションにて左記グループ以外のグループ権限を必要とする処理を行っていた場合は，エラーが発生する事が考えられますのでご注意願います。

*5

本修正を適用すると，ユーザサーバプロセスのグループ権限は，ユーザサーバ定義ファイルのgroup-idタグに定義されるグループ，同じくuser-idタグに定義されるユーザの所属するグループのみになります。そのため，ユーザアプリケーションにて左記グループ以外のグループ権限を必要とする処理を行っていた場合は，エラーが発生する事が考えられますのでご注意願います。

更新履歴

2011.03.07

[対象製品]， [対策版の提供]を更新しました。

2007.12.25

[対策版の提供]にて，対策バージョンの情報を更新しました。

2007.07.31

このセキュリティ情報ページを新規作成および発信しました。