Cosminexus, Processing Kit for XML, Hitachi Developer's Kit for Javaにおける不正zipファイル走査APIによる不正アクセスの脆弱性

2011.03.07 更新

Cosminexus，Processing Kit for XMLおよびHitachi Developer's Kit for Javaにおいて，不正アクセスが発生する脆弱性が存在します。

脆弱性ID

HS09-008

脆弱性の内容

下記製品の構成製品である，Cosminexus Developer's Kit for Java(TM)およびHitachi Developer's Kit for Java(TM)のzipファイル走査APIに，不正アクセスが発生する脆弱性が存在します。外部からzipファイルを入力して走査する処理を行っている場合にのみ影響を受けます。

■Cosminexus V6.7

• uCosminexus Application Server Enterprise
• uCosminexus Application Server Standard

■Cosminexus V6

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Standard Version 6

■Cosminexus V5

• Cosminexus Application Server Version 5

■Cosminexusを含む製品

• 電子フォームワークフロー スタンダードセット(*1)
• 電子フォームワークフロー プロフェッショナル Libraryセット(*1)

■Processing Kit for XML

• Processing Kit for XML

■Hitachi Developer's Kit for Java(TM)を含む製品

• IBM XL C/C++ Enterprise Edition V7 for AIX & Hitachi Developer's Kit for Java(TM)(*2)
• IBM XL C/C++ Enterprise Edition V8 for AIX & Hitachi Developer's Kit for Java(TM)(*2)

外部から不正なzipファイルが入力される可能性のあるシステムでは，上記の問題が発生する可能性があります。影響を受けるバージョンを下記に示しますので，対策版の適用をお願いいたします。

*1

本製品に含まれるuCosminexus Application Server Standardが該当します。

*2

本製品に含まれるHitachi Developer's Kit for Java(TM)が該当します。

対象製品

(凡例)
対象製品名 : 脆弱性が含まれる製品名

対象バージョン :

プラットフォーム

脆弱性が含まれるバージョン

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対象バージョン :

Linux

06-70 - 06-70-/F(*4), 06-71 - 06-71-/G

Linux(IPF)

06-70 - 06-70-/G

AIX

06-70 - 06-70-/L

Solaris

06-70 - 06-70-/E

■Cosminexus V6

対象製品名 : Cosminexus Application Server Enterprise Version 6(*3)
対象製品名 : Cosminexus Application Server Standard Version 6(*3)

対象バージョン :

Linux

06-00 - 06-00-/D, 06-02 - 06-02-/F, 06-50 - 06-50-/C, 06-51 - 06-51-/E

Linux(IPF)

06-00 - 06-00-/B, 06-02 - 06-02-/D, 06-50 - 06-50-/B, 06-51 - 06-51-/B

AIX

06-00 - 06-00-/I, 06-50 - 06-50-/I

Solaris

06-00 - 06-00-/A, 06-50 - 06-50-/C

■Cosminexus V5

対象製品名 : Cosminexus Application Server Version 5(*3)

対象バージョン :

Linux

05-05 - 05-05-/I

AIX

05-00 - 05-00-/S, 05-05 - 05-05-/O

■Cosminexusを含む製品

対象製品名 : 電子フォームワークフロー スタンダードセット(*3)
対象製品名 : 電子フォームワークフロー プロフェッショナル Libraryセット(*3)

対象バージョン :

Linux

06-70 - 06-70-/C

■Processing Kit for XML

対象製品名 : Processing Kit for XML

対象バージョン :

Linux

01-05 - 01-05-/A(*4), 02-00(*4), 02-05 - 02-05-/A

Linux(IPF)

02-00 - 02-00-/B(*4), 02-05 - 02-05-/A

AIX

01-00(*4), 01-05 - 01-05-/C(*4), 02-00 - 02-00-/D

Solaris

02-05 - 02-05-/A

■Hitachi Developer's Kit for Java(TM)を含む製品

対象製品名 : IBM XL C/C++ Enterprise Edition V7 for AIX & Hitachi Developer's Kit for Java(TM)
対象製品名 : IBM XL C/C++ Enterprise Edition V8 for AIX & Hitachi Developer's Kit for Java(TM)

対象バージョン :

AIX

01-00

*3

本製品をお使いの方は，サポートサービス窓口へご相談願います。

*4

本バージョンをお使いの方は，サポートサービス窓口へご相談願います。

対策版の提供

(凡例)
対象製品名 : 脆弱性の対策済み製品名

対策バージョン :

プラットフォーム

脆弱性の対策バージョン 対策版提供日

■Cosminexus V6.7

対象製品名 : uCosminexus Application Server Enterprise
対象製品名 : uCosminexus Application Server Standard

対策バージョン(*5) :

Linux

06-71-/H 2009.10.22

Linux(IPF)

06-70-/H 2010.10.05

AIX

06-70-/M 2009.04.21

Solaris

06-70-/F 2010.09.08

■Processing Kit for XML

対象製品名 : Processing Kit for XML

対策バージョン :

Linux

02-05-/B 2010.06.15

Linux(IPF)

02-05-/B 2010.06.15

AIX

02-05 2010.10.25

Solaris

02-05-/B 2010.09.17

■Hitachi Developer's Kit for Java(TM)を含む製品

対象製品名 : IBM XL C/C++ Enterprise Edition V7 for AIX & Hitachi Developer's Kit for Java(TM)
対象製品名 : IBM XL C/C++ Enterprise Edition V8 for AIX & Hitachi Developer's Kit for Java(TM)

上記対象製品に含まれる，脆弱性対策製品名(*6) :

• Hitachi Developer's Kit for Java(TM)

脆弱性対策製品の対策バージョン(*6) :

AIX

02-05-/P 2009.04.15

*5

対策版を適用する場合には，リビジョンアップや後継製品へのバージョンアップが必要になる場合があります。

*6

構成製品であるHitachi Developer's Kit for Java(TM)にて，脆弱性対策を行っております。構成製品の対策版を適用願います。

更新履歴

2011.03.07

[対象製品]， [対策版の提供]を更新しました。

2011.01.31

[対策版の提供]を更新しました。

2009.11.04

[対策版の提供]を更新しました。

2009.07.24

[対象製品]， [対策版の提供]を更新しました。

2009.05.22

このセキュリティ情報ページを新規作成および発信しました。