Flashes (Alerts)
Abstract
この文書は2018年10月から2019年12月までに発行されたWebSphere Application Server(Libertyを含む)に関するSecurity Bulletin情報などの重要情報の日本語の要約と、それらに関してテクニカルサポート によせられたQAのうち汎用性が高いものを掲載しています。2020年以降については
"WebSphere Application Server(Liberty含む)の重要情報 - 2020年" ( https://www.ibm.com/support/pages/node/1285612 ) をご参照ください。
Content
文書利用上のご留意点:
- この文書の日本語訳は英語で記載された原文の解釈を補うためのものであり、直訳ではないため、詳細は原文も合わせてご確認ください。
- 脆弱性の詳細(発生条件、該当条件、回避策、緩和策等)を公開することは、それが攻撃方法の発見に繋がりかねないため、原文に記載されている以上の詳細の公開はできません。
- 脆弱性の問題は、すべての攻撃パスが明らかになっているわけではないため、製品として脆弱な部分を残したまま製品をご使用いただくよりは、修正を適用いただく事を推奨いたします。
- QAが記載されているものは、弊社テクニカルサポートにお問い合わせ頂いたものから汎用性が高いと考えられるものを掲載しています。
- 場合によっては公開後に原文の内容が変更になる場合もございます。タイムリーに気づくことができるように、 IBM My Notifications で通知を受けられる事を推奨いたします。
- 特に本文書に明記されていない限り、脆弱性に対する解決策は、個別修正の適用かその修正が含まれる累積修正の適用になります。詳細は原文をご参照ください。
- 2020年以降についてはWebSphere Application Server(Liberty含む)の重要情報 - 2020年をご参照ください。
https://www.ibm.com/support/pages/node/1115085
CVSS Base Score: 5.3
2019年12月20日
Apache Commons Beanutils 1.9.2では、特別なBeanIntrospectorクラスが追加され、これにより攻撃者が全てのJavaオブジェクトで利用可能なclassプロパティを経由してクラスローダーにアクセスできることを抑止できるようになっています。しかしながら、この機能は、PropertyUtilsBeanのデフォルトの特性によっては使用されていません。
該当レベル:
v9.0.5.1以下、v8.5.5.16以下、8.0.0.15以下、7.0.0.45以下
https://www.ibm.com/support/pages/node/1127367
CVSS Base Score: 5.4
2019年12月11日
WebSphere LibertyのAdminCenterのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込み、本来の意図された機能を改変することで、信用されたセッション内で資格情報が漏洩する可能性があります。
Liberty v17.0.0.3 - v19.0.0.11
https://www.ibm.com/support/pages/node/1126887
2019年12月11日
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2019年10月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Editionに影響する可能性があるため対応をご検討ください。
以下の情報を公開しています。ご参照ください。
この脆弱性は、WebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKにおいて影響があります。
なし
CVSS Base Score: 9.8
2019年11月14日
Apache Commons Collections ライブラリーのシリアライズされたオブジェクトの処理に関して脆弱性があり、任意のコマンドが実行される可能性があります。
WebSphere Application Server (Libertyを除く) V9 のKnowledge Center機能がこのApache Commons コレクション・ライブラリーを使用しています。
V9.0.5.1以下
https://www.ibm.com/support/pages/node/1072860
2019年10月14日
CVSS Base Score: 7.5
要約:Empty Frame Flooding攻撃によりDOSに繋がる脆弱性です。攻撃者は、空のペイロードでストリームの終了を示すフラグを持たないフレームを送り続ける事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
CVEID: CVE-2019-9517
CVSS Base Score: 7.5
要約:Internal Data Buffering攻撃によりDOSに繋がる脆弱性です。攻撃者は、HTTP/2ウィンドウを無制限で開き、そして大きなレスポンスを要求するストリームを送り続ける事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
CVEID: CVE-2019-9515
CVSS Base Score: 7.5
要約:Settings Flood攻撃によりDOSに繋がる脆弱性です。攻撃者は、SETTINGSフレームを送り続ける事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
CVEID: CVE-2019-9514
CVSS Base Score: 7.5
要約:Reset Flood攻撃によりDOSに繋がる脆弱性です。攻撃者は、多くのストリームを開いて、個々のストリームに無効なリクエストを送る事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
CVEID: CVE-2019-9513
CVSS Base Score: 7.5
要約:Resource Loop攻撃によりDOSに繋がる脆弱性です。攻撃者は、複数のストリームリクエストを送り、それらのストリームの優先順位を連続的に変更する事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
CVEID: CVE-2019-9512
CVSS Base Score: 7.5
要約:Ping Flood攻撃によりDOSに繋がる脆弱性です。攻撃者は、連続的にpingフレームを送る事で、サーバー側で大量のCPUリソースを消費させることができてしまいます。
Liberty 18.0.0.2以上19.0.0.9以下でservlet-4.0またはservlet-3.1のフィーチャーを利用している環境
https://www.ibm.com/support/pages/node/959023
CVSS Base Score: 5.3
2019年10月1日
WebSphere Application Server (Liberty含む)で、ブラウザーにスタックトレースの情報が返される際に、リモートの攻撃者がセンシティブな情報を得ることができてしまうことがある問題です。
Liberty v19.0.0.9以下でjsp-2.2かjsp-2.3のfeatureが有効な環境、v9.0.5.1以下, v8.5.5.16以下,v8.0.0.15以下, v7.0.0.45以下
https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-ibm-http-server-used-websphere-application-server
2019年9月18日
IBM HTTP Serverにて、libexpatライブラリにて報告されている脆弱性を悪用することでCPU使用率の高騰を引き起こされる可能性がある、という脆弱性が報告されています。
v9.0.5, v9.0, v8.5.5, v8.5, v8.0, v7.0
https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-ibm-http-server-used-websphere-application-server
CVSS Base Score: 4.7
2019年9月18日
Apache HTTP Serverにてクロスサイトスクリプティングの脆弱性が報告されています。
ユーザーから提供されたエラーページの妥当性検査に不適切な部分があり、リモートの攻撃者によってリンクを不正に書き換えられ任意のページへと誘導される可能性があります。
また、この操作によりクッキーベースのクリデンシャル情報を盗まれるおそれがあります。
v9.0.5, v9.0, v8.5.5, v8.5, v8.0, v7.0
https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-ibm-http-server-used-websphere-application-server
CVSS Base Score: 3.7
2019年9月18日
Apache HTTP Serverにてオープンリダイレクトによる脆弱性が報告されています。
攻撃者は特別に細工されたURLを使い、ユーザーを任意のWebサイトにリダイレクトさせることができてしまいます。
v9.0.5, v9.0, v8.5.5, v8.5, v8.0, v7.0
CVSS Base Score: 3.7
2019年9月17日
IBM WebSphere Application Server Network Deploymentにて、リモートから細工したリクエストをを送信することにより任意のファイルを閲覧できてしまう、という脆弱性が報告されています。
v9.0.5, v9.0, v8.5.5, v8.5 (EOSであるWebSphere Virtual Enterprise(以下WVE)v8, WVEv7も該当します。)
https://www.ibm.com/support/pages/security-bulletin-information-disclosure-vulnerability-websphere-application-server-cve-2019-4477
CVSS Base Score: 5.3
2019年9月16日
WebSphere Application Serverでセキュリティ監査の機能に関する情報漏洩の脆弱性です。コマンドラインオプションの不適切な処理が原因で、監査ログにアクセスできるユーザーが機密情報を取得してしまう可能性があります。
v9.0.5.0以下、v8.5.5.16以下、8.0.0.15以下、7.0.0.45以下
https://www.ibm.com/support/pages/security-bulletin-file-traversal-vulnerability-websphere-application-server-admin-console-cve-2019-4268
CVSS Base Score: 5.3
2019年9月16日
WebSphere Application Server の管理コンソールの脆弱性です。リモートの攻撃者が、/../ をパスに含む細工したリクエストで管理コンソールにアクセスすることで、任意のファイルが閲覧できてしまう脆弱性です。
v9.0.5.0以下、v8.5.5.16以下、8.0.0.15以下、7.0.0.45以下
https://www.ibm.com/support/pages/security-bulletin-cross-site-scripting-vulnerability-websphere-application-server-admin-console-cve-2019-4270
CVSS Base Score: 5.4
2019年9月16日
WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込み、本来の意図された機能を改変することで、信用されたセッション内の資格情報が漏洩する可能性があります。
v9.0.5.0以下、v8.5.5.16以下、8.0.0.15以下、7.0.0.45以下
https://www.ibm.com/support/pages/security-bulletin-path-traversal-vulnerability-websphere-application-server-admin-console-cve-2019-4442
2019年9月10日
これにより、リモートの攻撃者は細工したURLリクエストを送ることで、ファイルシステム上の任意のファイル(ファイルの中身ではなく)を閲覧することが可能です。
https://www.ibm.com/support/pages/security-bulletin-http-parameter-pollution-and-xss-vulnerability-websphere-application-server-admin-console-nd-cve-2019-4271
2019年9月3日
WebSphere Application Server管理コンソールには、クライアント側のHTTPパラメーター汚染に関する脆弱性とクロスサイトスクリプティングの脆弱性があります。
v9.0.0.11以下, v8.5.5.15以下, EOSであるWebSphere Virtual Enterprise(WVE)v7も該当します。
なし
https://www.ibm.com/support/docview.wss?uid=ibm10964780
2019年8月29日
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2019年7月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Editionに影響する可能性があるため対応をご検討ください。
以下の情報を公開しています。ご参照ください。
https://www.ibm.com/support/docview.wss?uid=ibm11071858
この脆弱性は、WebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKにおいて影響があります。
なし
https://www.ibm.com/support/docview.wss?uid=ibm10884064
LibertyのAdminCenterのクリックジャッキングの脆弱性です。攻撃対象者を悪意のあるWebサイトに誘導することで、リモートの攻撃者は細工したHTTPリクエストを送り、攻撃対象者のクリック操作をのっとったり、クライアントブラウザー側で他の攻撃が可能になります。
AdminCenterフィーチャーを利用している環境、今後利用し得る環境で修正の適用が必要です。
v19.0.0.6以下
なし
https://www.ibm.com/support/docview.wss?uid=ibm10884032
CVSS Base Score: 5.3
WebSphere Application Server (Libertyは含まない)の管理コンソールにおいて、特殊に細工されたURLによりスタックが表示された場合、リモートの攻撃者が機密情報を入手できてしまう脆弱性が報告されています。
v9.0.0.11以下
なし
https://www.ibm.com/support/docview.wss?uid=ibm10883628
CVSS Base Score: 9
2019年05月15日
WebSphere Application Server ND traditional 及び WebSphere Application Server ND Hypervisor Editionの環境において、信頼できないソースからの細工されたシリアライズオブジェクトを使用して、リモートの攻撃者がWAS上で任意のコードを実行できてしまう脆弱性が報告されています。
v9.0.0.11以下, v8.5.5.15以下, (EOSであるWebSphere Virtual Enterprise(WVE)v7も該当します。)
なし
2019年5月2日
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2019年4月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Editionに影響する可能性があるため対応をご検討ください。
以下のバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKおいて影響があります。
V8.5.5.16未満
なし
https://www.ibm.com/support/docview.wss?uid=ibm10880413
CVEID: CVE-2019-0220
CVSS Base Score: 5.3
2019年04月22日
Apache HTTP ServerにてURL正規化処理が適切に行われていないことによる脆弱性が報告されています。
この脆弱性を悪用された場合、システムへの攻撃を行われる可能性があります。
IBM HTTP Server v9.0.0.11以下, v8.5.5.15以下, v8.0.0.15以下, v7.0.0.45以下
正規表現として`/`の代わりに`/+`を使うことが回避策として挙げられます。
https://www.ibm.com/support/docview.wss?uid=ibm10880413
CVEID: CVE-2019-0211
CVSS Base Score: 8.2
2019年04月22日
Apache HTTP Serverにて、不適切な権限昇格が行われてしまう脆弱性が報告されています。
子プロセスやモジュールのスクリプトからスコアボードを操作することで、任意のコードをルート権限にて実行できてしまう可能性があります。
IBM HTTP Server v9.0以降(Windowsプラットフォーム以外)
IHSにて信頼されていないモジュールやスクリプト(CGIやmod_php)を実行しないことが回避策として挙げられます。
http://www.ibm.com/support/docview.wss?uid=ibm10875692
2019年03月26日
IBM WebSphere Application Serverの管理コンソールで、不適切なパラメータのパース処理によるDOS(Denial Of Service)の脆弱性が確認されました。リモートの攻撃者は、CPUリソースの枯渇を引き起こすことができてしまいます。
v9.0.0.10以下, v8.5.5.15以下, v8.0.0.15以下, v7.0.0.45以下
なし
https://www.ibm.com/support/docview.wss?uid=ibm10795696
2019年2月05日に公開された原文(上記文書リンク)から参照されているAPAR文書の情報が変更されています。
既に個別修正PH07297を適用された環境には、新たな個別修正PH08804/PH09616を適用する必要があります。詳細はAPAR文書をご参照ください。
https://www.ibm.com/support/docview.wss?uid=ibm10869570
2019年03月21日
IBM WebSphere Application Serverで、不適切なリクエスト・ヘッダーの処理によるDOS(Denial Of Service)の脆弱性が確認されました。リモートの攻撃者は、メモリの枯渇を引き起こすことができてしまいます。
Liberty v19.0.0.3以下, v9.0.0.10以下, v8.5.5.15以下, v8.0.0.15以下, v7.0.0.45以下
なし
https://www.ibm.com/support/docview.wss?uid=ibm10795115
2019年03月07日
IBM WebSphere Application Serverの潜在的ななりすましの脆弱性です。
Liberty v19.0.0.2以下, v9.0.0.10以下, v8.5.5.15以下, v8.0, v7.0
回避策:
なし
https://www.ibm.com/support/docview.wss?uid=ibm10729607
2019年3月5日
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2019年1月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Editionに影響する可能性があるため対応をご検討ください。
http://www.ibm.com/support/docview.wss?uid=ibm10875470
以下のバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKおいて影響があります。
V8.5.5.16未満
Version 19.0.0.2未満
なし
https://www.ibm.com/support/docview.wss?uid=ibm10869406
2019年03月4日
WebSphere Application Server(Libertyは含まない)の管理コンソールのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意の
v9.0.0.10以下, v8.5.5.14以下 (EOSであるWebSphere Virtual Enterprise(WVE)v8, WVEv7も該当します。)
https://www.ibm.com/support/docview.wss?uid=ibm10793421
2019年02月14日
WebSphere Application Serverで、SP800-131 transitionモードを有効にし、プロトコル設定がSSL_TLSv2となっている場合に、
SP800-131 transitionモードで想定されるセキュリティー強度以下になってしまう場合があります。
結果、中間者攻撃により機密情報漏洩を引き起こす可能性があります。
v9.0.0.10以下, v8.5.5.14以下, v8.0.0.15以下, v7.0.0.45以下
なし
Security Bulletin: Potential denial of service in WebSphere Application Server (CVE-2018-10237)
https://www.ibm.com/support/docview.wss?uid=ibm10795696
CVSS Base Score: 7.5
2019年02月05日
WebSphere Application Serverで使用しようしている Google Guava ライブラリーの脆弱性です。
悪意のあるリモート攻撃者により、サービスを妨害される可能性があります。
Liberty v18.0.0.4以下, v9.0.0.10以下, v8.5.5.15以下
なし
Security Bulletin: Potential Privilege Escalation Vulnerability in WebSphere Application Server (CVE-2018-1901)
https://www.ibm.com/support/docview.wss?uid=ibm10738727
CVSS Base Score: 5
発行日:
2018年12月10日
要約:
誤ったキャッシュ情報が利用されることで、リモートの攻撃者が一時的に特権昇格できてしまう脆弱性が報告されています。
該当レベル:
Liberty v18.0.0.3以下, v9.0.0.9以下, v8.5.5.14以下
回避策:
なし
Security Bulletin: Potential Remote code execution vulnerability in WebSphere Application Server (CVE-2018-1904)
https://www.ibm.com/support/docview.wss?uid=ibm10738735
CVSS Base Score: 8.1
発行日:
2018年12月10日
要約:
WebSphere Application Server(Libertyは含まない)の環境において、信頼できないソースからシリアライズオブジェクトを認証を経ずに送ることができ、結果、WAS上で任意のJavaコードを実行できてしまう脆弱性です。
該当レベル:
v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下,v7.0.0.45以下
回避策:
なし
Security Bulletin: Potential cross-site request forgery in WebSphere Application Server Admin Console (CVE-2018-1926)
https://www.ibm.com/support/docview.wss?uid=ibm10742301
CVSS Base Score: 4.3
発行日:
2018年12月10日
要約:
管理コンソールのCSRF(クロスサイト・リクエスト・フォージェリ)の脆弱性です。ユーザー入力のバリデーションチェックが不適切であったため、
悪意のあるリモートの攻撃者は、管理コンソールにログインできるユーザーを細工したURLにアクセスさせることで、CSRF攻撃を行うことができてしまいます。
該当レベル:
v9.0.0.9以下, v8.5.5.14以下 (EOSであるWebSphere Virtual Enterprise(WVE)v8, WVEv7も該当します。)
回避策:
なし
Security Bulletin: Potential information disclosure in WebSphere Application Server (CVE-2018-1957)
https://www.ibm.com/support/docview.wss?uid=ibm10744247
CVSS Base Score: 4
発行日:
2018年12月06日
要約:
保護されてないURLにアクセスした際にアプリケーションがHttpServletRequest.authenticate() APIを使っている場合、そのAPIが誤った戻り値を返すため、その誤った戻り値に基づいてアプリケーションが動作することで、結果的にセンシティブな情報の漏洩に繋がる可能性のある脆弱性が報告されています。
該当レベル:
v9.0.0.9以下
回避策:
なし
Security Bulletin: Potential Privilege escalation vulnerability in WebSphere Application Server (CVE-2018-1840)
https://www.ibm.com/support/docview.wss?uid=ibm10735767
CVSS Base Score: 6
発行日:
2018年11月29日
要約:
セキュリティ・ドメインを構成している環境で、グローバルの統合リポジトリを継承するのではなく、ドメイン固有の統合リポジトリを構成しているWASv8をv8.5, v9に移行した環境において、特権昇格の脆弱性が報告されています。
該当レベル:
v9.0.0.9以下, 8.5.5.14以下
回避策:
セキュリティ・ドメインのユーザー・レルムが意図しない構成になっている場合には、目的の構成に再構成してください。
注意事項:
この修正は移行時の製品不具合であるために、修正を適用するだけでは問題の解消にはならず、修正を適用した上でのマイグレーションの再実行が必要になります。
Security Bulletin: Potential XML External Entity (XXE) Injection Vulnerability in WebSphere Application Server (CVE-2018-1905)
https://www.ibm.com/support/docview.wss?uid=ibm10738721
CVSS Base Score: 7.1
発行日:
2018年11月20日
要約:
WASv9の管理コンソールに含まれるKnowledgeCenterにて、XMLの外部実体参照を利用した脆弱性(XXE攻撃、XML外部攻撃と呼ばれることもあるようです)が報告されています。悪意のあるユーザーがXMLに任意の外部参照を埋め込むことにより、システム上のセンシティブな情報の漏洩やメモリのリソース消費量上昇が発生する可能性があります。
該当レベル:
v9.0.0.9以下
回避策:
なし
Security Bulletin: Multiple Vulnerabilities in IBM® Java SDK affect WebSphere Application Server October 2018 CPU
https://www.ibm.com/support/docview.wss?uid=ibm10729607
発行日:
2018年11月19日
要約:
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2018年10月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Editionに影響する可能性があるため対応をご検討ください。
以下の情報を公開しています。ご参照ください。
【セキュリティ情報】IBM Java SDK CPU 2018 October で報告された脆弱性の WebSphere Application Server への影響
https://www.ibm.com/support/docview.wss?uid=ibm10741783
該当レベル:
以下のバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKおいて影響があります。
V9.0.0.10未満
V8.5.5.15未満
V8.0
V7.0
Liberty
Version 18.0.0.4未満
回避策:
なし
Security Bulletin: Potential directory traversal vulnerability in WebSphere Application Server (CVE-2018-1797)
https://www.ibm.com/support/docview.wss?uid=ibm10730699
CVSS Base Score: 6.3
発行日:
2018年11月14日
要約:
ディレクトリトラバーサルの脆弱性です。WebSphere Application ServerでEnterprise Bundle Archive(EBA)がインストールされている環境で、ローカルの攻撃者がWAS上で細工したアーカイブ(ZIP)ファイルを展開させることでディレクトリトラバーサルが発生し、システム上の任意のファイルを上書きする可能性があります。この脆弱性はZip-Slipとして知られています。
該当レベル:
v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下, WebSphere Application Server V7 Feature Pack for OSGi Applications and Java Persistence API 2.0
回避策:
なし
Security Bulletin: Cross-site scripting vulnerability in Installation Verification Tool of WebSphere Application Server (CVE-2018-1643)
https://www.ibm.com/support/docview.wss?uid=ibm10716857
発行日:
2018年11月12日
要約:
Installation Verification Tool(ivt)アプリケーションのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。<WAS_ROOT>/installableApps/ivtApp.earをデプロイしていなければ該当しません。
該当レベル:
v9.0.0.8以下,v8.5.5.13以下, v8.0.0.15以下
回避策:
なし
注意点:
- Installation Verification Toolを意図的に利用されていない場合には、アンインストールいただくことで脆弱性には該当しなくなります。
- Installation Verification Toolはプロファイル作成時にデフォルトでデプロイされている場合があり、その場合はivtAppという名前になります。手動でデプロイされた場合は“IVT Application”という名前になりますが、アプリケーション名は任意に変更可能のため別名の可能性もあります。その場合は、<Profile_ROOT>/config/cells/cell_name/applications/配下に、ivtApp.earというファイルの有無で、デプロイされているかどうかをご判断頂けます。
- Installation Verification Toolを引き続きデプロイしたままにする利用する必要がある場合には、修正を適用後、アプリケーションを更新する必要があります。
- 統合されているノードをremoveNodeコマンドなので除去すると、統合前にデプロイされていたInstallation Verification Toolが復元される場合があります。その場合は、修正を適用後、アプリケーションを更新する必要があります。
- 修正適用後に作成されるプロファイについては、必要に応じて脆弱性対応されたInstallation Verification Toolがデプロイされますので、追加の対応は不要です。
Security Bulletin: Potential cross-site scripting vulnerability in WebSphere Application Server using SIBMsgMigration Utility (CVE-2018-1798)
https://www.ibm.com/support/docview.wss?uid=ibm10730703
CVSS Base Score: 6.1
発行日:
2018年11月08日
要約:
SIBMsgMigrationのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。<WAS_ROOT>/installableApps/SIBMsgMigrationUtility.earをデプロイしていなければ該当しません。
該当レベル:
v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下,v7.0.0.45以下
回避策:
なし
注意点:
- SIBMsgMigrationアプリケーションはv6への移行時に利用されるためのもので、v7以降では利用されていません。もしデプロイされている環境があるようでしたら、安全に削除いただけます。
- 修正を適用することで<WAS_ROOT>/installedApps/SIBMsgMigrationUtility.ear が機能しないものに置きかわりますが、すでにデプロイされているものはアンデプロイしてください。
Security Bulletin: Code execution vulnerability with OpenID connect in WebSphere Application Server Liberty (CVE-2018-1851)
https://www.ibm.com/support/docview.wss?uid=ibm10735105
CVSS Base Score: 7.3
発行日:
2018年10月30日
要約:
WebSphere Application Server Liberty の OpenID Connect ( OIDC )を使用すると、リモートの攻撃者が不適切なデシリアライズによって、巧妙に細工されたリクエストをリライングパーティー(RP)サービスに送信されると、システム上で任意のコードを実行できしまう脆弱性です。
該当レベル:
Liberty v18.0.0.2以下
回避策:
なし
Security Bulletin: Cross-site scripting vulnerability in CacheMonitor for WebSphere Application Server (CVE-2018-1767)
https://www.ibm.com/support/docview.wss?uid=ibm10729547
CVSS Base Score: 6.1
発行日:
2018年10月25日
要約:
CacheMonitorのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
Liberty v18.0.0.3以下, v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下,v7.0.0.45以下
回避策:
なし
注意点:
ifix適用後は、手動での CacheMonitor ear の更新が必要になります。Fixpackを適用した場合は手動での更新は不要です。
Security Bulletin: Potential cross-site scripting vulnerability in the WebSphere Application Server Admin Console (CVE-2018-1777)
https://www.ibm.com/support/docview.wss?uid=ibm10730631
CVSS Base Score: 5.4
発行日:
2018年10月13日
要約:
WebSphere Application Server(Libertyは含まない)の管理コンソールのクロスサイトスクリプティングの脆弱性です。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下,v7.0.0.45以下
回避策:
なし
Security Bulletin: Code execution vulnerability in WebSphere Application Server (CVE-2018-1567)
https://www.ibm.com/support/docview.wss?uid=swg22016254
CVSS Base Score: 9.8
発行日:
2018年10月13日
要約:
WebSphere Application Server(Libertyは含まない)の環境において、リモートの攻撃者が、SOAPコネクターにシリアライズオブジェクトを認証を経ずに送ることができ、結果、WAS上で任意のJavaコードを実行できてしまう脆弱性です。
該当レベル:
v9.0.0.9以下,v8.5.5.14以下, v8.0.0.15以下,v7.0.0.45以下
回避策:
なし
注意点:
同じ脆弱性への修正として9月5日に修正PI95973がリリースされていますが、追加の対応が必要であることが判明し、新たにPH03986がリリースされています。
PH03986はPI95973を含みますので、PI95973未適用の環境にはPH03986のみを適用してください。PI95973適用済みの環境にはPH03986を重ねて適用頂けます。
PH03986適用後、サーバー停止時にjava.lang.reflect.UndeclaredThrowableExceptionのFFDCがログされることがありますが無視可能です。
Security Bulletin: Potential bypass security vulnerability in Expression Language library used by WebSphere Application Server (CVE-2014-7810)
https://www.ibm.com/support/docview.wss?uid=ibm10729557
CVSS Base Score: 5
発行日:
2018年10月11日
要約:
WebSphere Application Server(Liberty含む)のExpression Languageを処理するコンポーネントの実装が不完全であったために、攻撃者はSecurity Managerによる保護を回避することができてしまう脆弱性です。
該当レベル:
Liberty v18.0.0.3以下, v9.0.0.9以下, v8.5.5.14以下, v8.0.0.15以下, v7.0.0.45以下
回避策:
なし
Security Bulletin: Potential traversal vulnerability in IBM WebSphere Application Server Admin Console (CVE-2018-1770)
https://www.ibm.com/support/docview.wss?uid=ibm10729521
CVSS Base Score: 6.5
発行日:
2018年10月10日
要約:
WebSphere Application Server の管理コンソールの脆弱性です。リモートの攻撃者が、/../ をパスに含む細工したリクエストで管理コンソールにアクセスすることで、任意のファイルが閲覧できてしまう脆弱性です。
該当レベル:
v9.0.0.9以下, v8.5.5.14以下, v8.0.0.15以下, v7.0.0.45以下
回避策:
なし
Security Bulletin: CroSecurity Bulletin: Multiple security vulnerabilities in GSKit used by Edge Caching proxy of WebSphere Application Server
https://www.ibm.com/support/docview.wss?uid=ibm10732391
発行日:2018年10月01日
要約:
Edge Caching Proxyを利用している場合のみ該当する7つ脆弱性と、それに対しするための修正の情報が記載されています。
該当レベル:
v9.0.0.8以下, v8.5.5.14以下, v8.0.0.15以下
回避策:
なし
Security Bulletin: Cross-site scripting vulnerability in SAML ear in WebSphere Application Server (CVE-2018-1793)
https://www.ibm.com/support/docview.wss?uid=ibm10729563
CVSS Base Score: 6.1
発行日:
2018年10月01日
要約:
WebSphere Application Server(Liberty含まない)の環境で、SAMLアプリケーションを利用している場合にこの脆弱性に該当します。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.0.9以下, v8.5.5.14以下, v8.0.0.15以下, v7.0.0.45以下
回避策:
SAML Web SSO TAIを構成していないが、WebSphereSamlSP.earが導入されている環境であれば、WebSphereSamlSP.earをアンインストールしてください。
注意点:
修正適用後は、WebSphereSamlSP.earを更新する必要があります。
Security Bulletin: Cross-site scripting vulnerability in OAuth ear in WebSphere Application Server (CVE-2018-1794)
https://www.ibm.com/support/docview.wss?uid=ibm10729571
CVSS Base Score: 6.1
発行日:
2018年10月01日
要約:
WebSphere Application Server(Liberty含まない)の環境で、OAuthアプリケーションを利用している場合にこの脆弱性に該当します。悪意のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことで、信用されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.0.9以下, v8.5.5.14以下, v8.0.0.15以下, v7.0.0.45以下
回避策:
OAuth 2.0 client TAIを構成していないが、WebSphereOauth20SP.earが導入されている環境であれば、WebSphereOauth20SP.earをアンインストールしてください。
注意点:
修正適用後は、WebSphereOauth20SP.earを更新する必要があります。
Related Information
Was this topic helpful?
Document Information
Modified date:
26 September 2022
UID
ibm10734535