Cosminexus Component Containerにおけるクロスサイトスクリプティングの脆弱性

2011.03.07 更新

Cosminexus Component Containerにクロスサイトスクリプティングの脆弱性が存在します。

脆弱性ID

HS08-013

脆弱性の内容

下記製品の構成製品である Cosminexus Component Container にクロスサイトスクリプティングの脆弱性が存在します。

■Cosminexus V7, V6.7

• uCosminexus Application Server Enterprise
• uCosminexus Application Server Standard
• uCosminexus Application Server Smart Edition
• uCosminexus Service Platform
• uCosminexus Developer Standard
• uCosminexus Developer Professional
• uCosminexus Developer Light
• uCosminexus Service Architect

■Cosminexus V6

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Standard Version 6
• Cosminexus Developer Standard Version 6
• Cosminexus Developer Professional Version 6
• Cosminexus Developer Light Version 6

■Cosminexus V5

• Cosminexus Application Server Version 5
• Cosminexus Developer Version 5

悪意のある第三者からの攻撃により，任意のスクリプトが実行される可能性があります。
本脆弱性は，以下の場合に発生します．

1. javax.servlet.ServletRequestクラスのgetLocaleメソッド，もしくはgetLocalesメソッドを使用してjava.util.Localeオブジェクトを取得している。
2. 取得したjava.util.Localeオブジェクトから取得した値に対し，エスケープせずにHTTPレスポンスとして出力している。

影響を受けるバージョンを下記に示しますので，対策版の適用または，下記[暫定回避策]による回避をお願いいたします。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard
対象製品名 : uCosminexus Application Server Smart Edition

対象バージョン :

Windows

07-00 - 07-00-03(*1), 07-10 - 07-10-01(*1), 07-20 - 07-20-03(*1), 07-50 - 07-50-03(*1), 07-60

Linux

07-00 - 07-00-01(*1), 07-10 - 07-10-01(*1), 07-50 - 07-50-01(*1), 07-60

Linux(IPF)

07-10 - 07-10-01(*1), 07-60

AIX

07-00 - 07-00-01(*1), 07-10 - 07-10-01(*1), 07-50 - 07-50-02(*1), 07-60

HP-UX

07-10 - 07-10-01(*1)

HP-UX(IPF)

07-00(*1), 07-10 - 07-10-03(*1), 07-60

Solaris

07-00 - 07-00-01(*1), 07-10(*1), 07-60

対象製品名 : uCosminexus Service Platform

対象バージョン :

Windows

07-00 - 07-00-03(*1), 07-10 - 07-10-01(*1), 07-20 - 07-20-03(*1), 07-50 - 07-50-03(*1), 07-60

Linux

07-00 - 07-00-01(*1), 07-10 - 07-10-01(*1), 07-50 - 07-50-01(*1), 07-60

AIX

07-00 - 07-00-01(*1), 07-10 - 07-10-01(*1), 07-50 - 07-50-02(*1), 07-60

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Service Architect

対象バージョン :

Windows

07-00 - 07-00-03(*1), 07-10 - 07-10-01(*1), 07-20 - 07-20-03(*1), 07-50 - 07-50-03(*1), 07-60

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Windows

06-70 - 06-70-/D, 06-71 - 06-71-/D

Windows(IPF)

06-70 - 06-70-/A

Linux

06-70 - 06-70-/E, 06-71 - 06-71-/F

Linux(IPF)

06-70 - 06-70-/F

AIX

06-70 - 06-70-/I

HP-UX

06-70 - 06-70-/D, 06-72 - 06-72-/B

HP-UX(IPF)

06-70 - 06-70-/K

Solaris

06-70 - 06-70-/D

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Light

対象バージョン :

Windows

06-70 - 06-70-/D, 06-71 - 06-71-/D

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6
対象製品名 : Cosminexus Application Server Standard Version 6

対象バージョン(*1) :

Windows

06-00 - 06-00-/I, 06-02 - 06-02-/G, 06-50 - 06-50-/F, 06-51 - 06-51-/K

Windows(IPF)

06-00, 06-51

Linux

06-00 - 06-00-/D, 06-02 - 06-02-/F, 06-50 - 06-50-/C, 06-51 - 06-51-/E

Linux(IPF)

06-00 - 06-00-/B, 06-02 - 06-02-/D, 06-50 - 06-50-/B, 06-51 - 06-51-/B

AIX

06-00 - 06-00-/I, 06-50 - 06-50-/H

HP-UX

06-00 - 06-00-/E, 06-50 - 06-50-/F

HP-UX(IPF)

06-00 - 06-00-/E, 06-50 - 06-50-/E

Solaris

06-00 - 06-00-/A, 06-50 - 06-50-/C

対象製品名 : Cosminexus Developer Standard Version 6
対象製品名 : Cosminexus Developer Professional Version 6
対象製品名 : Cosminexus Developer Light Version 6

対象バージョン(*1) :

Windows

06-00 - 06-00-/I, 06-02 - 06-02-/G, 06-50 - 06-50-/F, 06-51 - 06-51-/K

■Cosminexus V5

対象製品名 : Cosminexus Application Server Version 5

対象バージョン(*1) :

Windows

05-00 - 05-00-/H, 05-01 - 05-01-/L, 05-05 - 05-05-/P

Linux

05-05 - 05-05-/I

AIX

05-00 - 05-00-/R, 05-05 - 05-05-/N

HP-UX

05-00 - 05-00-/C, 05-02 - 05-02-/E, 05-05 - 05-05-/I

対象製品名 : Cosminexus Developer Version 5

対象バージョン(*1) :

Windows

05-00 - 05-00-/H, 05-01 - 05-01-/L, 05-05 - 05-05-/P

*1

本バージョンをお使いの方は，サポートサービス窓口へご相談願います。

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

■Cosminexus V7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard
対象製品名 : uCosminexus Application Server Smart Edition
対象製品名 : uCosminexus Service Platform
対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Service Architect

上記対象製品に含まれる，脆弱性対策製品名(*2) :

• Cosminexus Component Container

脆弱性対策製品の対策バージョン(*3) :

Windows

07-60-05 2008.05.09

Linux

07-60-05 2008.05.09

Linux(IPF)

07-60-05 2008.05.08

AIX

07-60-05 2008.05.08

HP-UX(IPF)

07-60-06 2008.05.16

Solaris

07-60-05 2008.04.23

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対策バージョン :

Windows

06-70-/E 2008.07.24

06-71-/E 2008.07.07

Linux

06-70-/F 2008.07.29

06-71-/G 2008.08.29

Linux(IPF)

06-70-/G 2008.06.30

AIX

06-70-/J 2008.06.24

HP-UX

06-70-/E 2008.07.07

06-72-/C 2008.07.11

HP-UX(IPF)

06-70-/L 2008.06.13

Solaris

06-70-/E 2008.07.22

対象製品名 : uCosminexus Developer Standard
対象製品名 : uCosminexus Developer Professional
対象製品名 : uCosminexus Developer Light

対策バージョン :

Windows

06-70-/E 2008.07.24

06-71-/E 2008.07.07

*2

構成製品であるCosminexus Component Containerにて，脆弱性対策を行っております。構成製品の対策版を適用願います。

*3

構成製品であるCosminexus Component Containerのバージョンです。

暫定回避策

この脆弱性に対して下記の暫定回避策があります。対策版を適用するまでの間，以下の暫定回避策を実施していただくようお願いいたします。

1. getLocaleメソッド，もしくはgetLocalesメソッドで取得したjava.util.Localeオブジェクトから取得した値をHTTPレスポンスに出力する場合は，エスケープを行う。

更新履歴

2011.03.07

[対策版の提供]を更新しました。

2008.05.23

このセキュリティ情報ページを新規作成および発信しました。