1. ホーム
2. サポート
3. セキュリティ情報

セキュリティ速報

IIS 6を使用するJRun 4アップデータ6におけるサービス拒否の可能性に対処するためのパッチ公開

リリース日：2007年３月13日

脆弱性識別番号：APSB07-07

CVE番号：CVE-2007-1278

プラットフォーム：Windowsのみ

影響を受けるソフトウェアとバージョン：ColdFusion MX 7.X

• JRun 4.0アップデータ6
• ColdFusion MX 7.0 Enterprise Edition（「マルチサーバ」オプションでインストールされている場合）
• ColdFusion MX 6.1 Enterprise（「J2EE」オプションでインストールされ、JRun 4.0アップデータ6にデプロイされている場合）

メモ：この問題は、ColdFusion MX 6.1、7.0のStandard Editionには影響しません。

概要

JRunのIISコネクタに脆弱性があり、この脆弱性が悪用されることでサービス拒否攻撃が可能になる恐れがあります。 Microsoft IIS 6を使用するJRun 4アップデータ6のWebアプリケーションルート（コンテキストルート使用時）に配置されたファイルが要求され、その後、ある一連の操作が実行されると、攻撃者がサービス拒否攻撃を仕掛けられるようになる可能性があります。

解決方法

該当製品をご利用の皆様には、以下の手順に従ってアップデートを適用することを推奨します。

メモ：変更を適用する際には、あらかじめ既存ファイルのバックアップを作成してください。運用中のサーバに変更を適用する前に、必ず非運用環境でテストを行ってください。

インストール手順：

JRun 4.0アップデータ6またはColdFusion MX 7.0（マルチサーバオプションでインストールしている場合）

1. JRunの稼働するマシンにjrun-hotfix-iis6-65502.zipをコピーします。
2. 既存のjrun_iis6_wildcard.dllファイルのファイル名を変更します。
3. jrun-hotfix-iis6-65502.zipからjrun_iis6_wildcard.dllファイルを抽出し、JRun-Home/lib/wsconfig/1ディレクトリに配置します。
4. JRun-Home/lib/wsconfigに番号の割り振られた複数のディレクトリがある場合は、これらのディレクトリごとにjrun_iis6_wildcard.dllが含まれていないかを確認します。このファイルが含まれている場合は、ステップ２と３を繰り返します。
5. IISのＷorld Wide Webサービス群を再起動します。
6. コネクタログを開き、JRunコネクタのビルトが108433になっていることを確認します。

ColdFusion MX 6.1 Enterprise（「J2EE」オプションでのインストールを選択し、JRun 4.0アップデータ6にデプロイしている場合）

（ColdFusion 6.1をご利用の場合はアップデータ１が必要です）

1. JRunの稼働するマシンにjrun-hotfix-iis6-65502.zipをコピーします。
2. 既存のjrun_iis6_wildcard.dllファイルのファイル名を変更します。
3. jrun-hotfix-iis6-65502.zipからjrun_iis6_wildcard.dllファイルを抽出し、JRun-Home/lib/wsconfig/1ディレクトリに配置します。
4. JRun-Home/lib/wsconfigに番号の割り振られた複数のディレクトリがある場合は、これらのディレクトリごとにjrun_iis6_wildcard.dllが含まれていないかを確認します。このファイルが含まれている場合は、ステップ２と３を繰り返します。
5. IISのＷorld Wide Webサービス群を再起動します。
6. コネクタログを開き、JRunコネクタのビルトが108433になっていることを確認します。

重要度

アドビはこの問題の重要度を低度と分類し、対象ユーザの皆様が該当製品にパッチを適用することを推奨します。

詳細

JRunのIISコネクタに脆弱性があり、この脆弱性が悪用されることでサービス拒否攻撃が可能になる恐れがあります。 Microsoft IIS 6を使用するJRun 4アップデータ6のWebアプリケーションルート（コンテキストルート使用時）に配置されたファイルが要求され、その後、ある一連の操作が実行されると、攻撃者がサービス拒否攻撃を仕掛けられるようになる可能性があります。 この問題はMicrosoft IIS 6を利用するようインストールされたJRun 4固有のものです。また、この問題はリモート攻撃の対象となります。 Microsoft IIS 5は、この問題の対象になりません。

謝辞：

この脆弱性を指摘し、ユーザのセキュリティ保護に協力してくださったNEC*のカミイチ ショウジ氏に対し、アドビより厚く御礼を申し上げます。

免責条項

使用許諾条件

Adobe Systems Incorporatedまたはその子会社（「アドビ社」）のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。

アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD（Table Of Denial Order）、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。

アドビのソフトウェア製品をダウンロードまたは使用することにより、お客樣にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。

本ソフトウェアが他のアドビ製品（以下「ホストアプリケーション」）との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。

保証の免責：お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。

有限責任：契約、不法行為（過失を含む）、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。