JP1/Integrated Management - Universal CMDBにおける情報漏えいの問題

2015.05.15 更新

JP1/Integrated Management - Universal CMDBに，UDプローブ(DFMプローブ)に格納されているデータが取得可能な脆弱性が存在します。

脆弱性ID

HS15-022

脆弱性の内容

UDプローブ(DFMプローブ)が動作しているサーバに対して悪意のある第三者がHTTPリクエストを送信した場合，格納されているデータが取得可能な脆弱性が存在します。

影響を受けるバージョンを下記に示しますので，対策版の適用または，下記[回避策]による回避をお願いいたします。

対象製品

対象製品名 : JP1/Integrated Management - Universal CMDB 10.1 Full

対象バージョン :

Windows

10-50

対象製品名 : JP1/Integrated Management - Universal CMDB Advanced Edition

対象バージョン :

Windows

09-50(*1)

*1

回避策の適用または，対策バージョンへのバージョンアップをお願いいたします。

対策版の提供

対象製品名 : JP1/Integrated Management - Universal CMDB 10.1 Full

対策バージョン :

Windows

10-50-/A 2015.04.27

回避策

UDプローブのweb.xmlファイルを以下の手順で変更してください。

1. UDプローブ(DFMプローブ)がインストールされたサーバにログイン
2. スタートメニューから[Data Flow Probeの停止]を選択してUDプローブ(DFMプローブ)を停止
3. 以下のファイルをメモ帳などのテキストエディタで開く
   JP1/Integrated Management - Universal CMDB 09-50, 10-50: <UDプローブのインストールパス>\deploy\jmx-console\WEB-INF\web.xml
   JP1/Integrated Management - Universal CMDB 10-50のみ: <UDプローブのインストールパス>\deploy\WEB-INF\web.xml
4. web.xmlを以下のように変更して保存

       <security-constraint>
           <web-resource-collection>
               <web-resource-name>Callhome Servlet</web-resource-name>
               <url-pattern>/callhome</url-pattern>
               <http-method>GET</http-method>
               <http-method>POST</http-method>
           </web-resource-collection>
           <web-resource-collection>
               <web-resource-name>NoTrace</web-resource-name>
               <url-pattern>/*</url-pattern>
               <http-method>TRACE</http-method>
           </web-resource-collection>
           <auth-constraint/>
       </security-constraint>
   

更新履歴

2015.05.15

このセキュリティ情報ページを新規作成および発信しました。