IBM Support

WebSphere Application Server(Liberty含む)の重要情報

News


Abstract

この文書は2020年1月以降に発行されたWebSphere Application Server(Libertyを含む)およびIBM HTTP Serverに関するSecurity Bulletin情報などの重要情報の日本語の要約と、それらに関してテクニカルサポート によせられたQAのうち汎用性が高いものを掲載しています。

WebSphere Application Server(Libertyを含む)およびIBM HTTP Serverに該当する脆弱性は https://www.ibm.com/support/pages/node/710969 にリストされています。合わせてご活用ください。

Content

文書利用上のご留意点:

  1. この文書の日本語訳は英語で記載された原文の解釈を補うためのものであり、直訳ではないため、詳細は原文も合わせてご確認ください。
  2. 脆弱性の詳細(発生条件、該当条件、回避策、緩和策等)を公開することは、それが攻撃方法の発見に繋がりかねないため、原文に記載されている以上の詳細の公開はできません。
  3. 脆弱性の問題は、すべての攻撃パスが明らかになっているわけではないため、製品として脆弱な部分を残したまま製品をご使用いただくよりは、修正を適用いただく事を推奨いたします。
  4. QAが記載されているものは、弊社テクニカルサポートにお問い合わせ頂いたものから汎用性が高いと考えられるものを掲載しています。
  5. 場合によっては公開後に原文の内容が変更になる場合もございます。タイムリーに気づくことができるように、 IBM My Notifications で通知を受けられる事を推奨いたします。
  6. 特に本文書に明記されていない限り、脆弱性に対する解決策は、個別修正の適用かその修正が含まれる累積修正の適用になります。詳細は原文をご参照ください。
  7. 2018年10月以降2019年12月までのものはWebSphere Application Server(Liberty含む)の重要情報を参照してください。
  8. Libertyでfeatureが利用されているかどうかは、Libertyのログ(console.log, messages.logまたはトレース)のCWWKF0012Iのメッセージにそのfeatureが含まれているかどうかで確認可能で、このアプローチが推奨されます。
    構成ファイルでの確認も可能ですが、featureは様々な方法で定義可能であったり、別のfeatureの依存関係によってもランタイムでロードされる可能性があるためこのアプローチでの確認は推奨されません。詳細はこちらをご参照ください。

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting (CVE-2024-45087)
https://www.ibm.com/support/pages/node/7175393
発行日:
2024年11月11日
CVEID: CVE-2024-45087
CVSS Base Score: 4.8
要約:
WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.21以下、v8.5.5.26以下

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service due to GraphQL Java (CVE-2024-40094)
https://www.ibm.com/support/pages/node/7174997
CVEID: CVE-2024-40094
CVSS Base Score: 5.3
発行日:
2024年11月06日
要約:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureが有効なLibertyが使用するGraphQL Javaライブラリー(graphql-java)で、DOS攻撃防止のためのExecutableNormalizedFields(ENFs)を適切に考慮しないことにより、DOS攻撃が可能になる脆弱性です。リモートの攻撃者は、イントロスペクションクエリーを用いて、DOS攻撃が可能になります。
該当レベル:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureを利用しているLiberty(20.0.0.6 - 24.0.0.11)

Security Bulletin: IBM WebSphere Application Server is vulnerable to an XML External Entity Injection (XXE) vulnerability (CVE-2024-45086)
https://www.ibm.com/support/pages/node/7174745
CVEID: CVE-2024-45086
CVSS Base Score: 5.5
発行日:
2024年11月04日
要約:
IBM WebSphere Application Serverの管理コンソールは、XMLデータ処理時の、XMLの外部実体参照を利用した攻撃(XXE攻撃)に対して脆弱です。
権限のあるユーザーは、この脆弱性を利用し、センシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.21以下、v8.5.5.26以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to stored cross-site scripting (CVE-2024-45071)
https://www.ibm.com/support/pages/node/7173270
CVEID: CVE-2024-45071
CVSS Base Score: 5.5
発行日:
2024年10月16日
要約:
WebSphere Application Serverの管理コンソールの蓄積型クロスサイトスクリプティングの脆弱性です。
この脆弱性により、権限のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことができ、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.21以下、v8.5.5.26以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to an XML External Entity Injection (XXE) vulnerability (CVE-2024-45072)
https://www.ibm.com/support/pages/node/7173263
CVEID: CVE-2024-45072
CVSS Base Score: 5.5
発行日:
2024年10月16日
要約:
IBM WebSphere Application Serverの管理コンソールは、XMLデータ処理時の、XMLの外部実体参照を利用した攻撃(XXE攻撃)に対して脆弱です。
権限のあるユーザーは、この脆弱性を利用し、センシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.21以下、v8.5.5.26以下

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service due to Google Protocol Buffers (CVE-2024-7254)
https://www.ibm.com/support/pages/node/7173097
発行日:
2024年10月15日
CVEID: CVE-2024-7254
CVSS Base Score: 7.5
要約:
grpc-1.0 や grpcClient-1.0 フィーチャーを有効にしているLibertyが使用するGoogle Protocol Buffers (protobuf) ライブラリーは、スタックベースのバッファオーバーフローによって引き起こされるDOS攻撃に対して脆弱です。特殊に細工されたリクエストを送ることで、リモートの攻撃者は、この脆弱性を利用しDOS状態を引き起こすことができる可能性があります。
該当レベル:
grpc-1.0 や grpcClient-1.0のfeatureを利用しているLiberty(20.0.0.12 - 24.0.0.10)

Security Bulletin: IBM WebSphere Application Server is vulnerable to a denial of service (CVE-2024-45085)
https://www.ibm.com/support/pages/node/7173128
CVEID: CVE-2024-45085
CVSS Base Score: 5.9
発行日:
2024年10月15日
要約:
WebSphere Application Serverは、Sun RI 1.2実装のJSFアプリケーションがデプロイされている場合、ある構成下で、予期しない特殊に細工されたリクエストにより引き起こされるDOS攻撃に対して脆弱です。リモートの攻撃者は、この脆弱性を利用し、DOS状態となるエラーを引き起こすことができる可能性があります。
該当レベル:
v8.5.5.26以下
注意事項:
この修正に伴い、web.xmlでcom.sun.faces.ClientStateSavingPasswordを使用している場合、振る舞いに変更が生じる場合があります。また、コンテキストパラメータが3つ追加され、一つが更新されています。詳細はこちらをご参照ください。

Security Bulletin: IBM WebSphere Application Server is vulnerable to stored cross-site scripting (CVE-2024-45073)
https://www.ibm.com/support/pages/node/7171755
発行日:
2024年9月30日
CVEID: CVE-2024-45073
CVSS Base Score: 4.8
要約:
WebSphere Application Serverの管理コンソールの蓄積型クロスサイトスクリプティングの脆弱性です。
この脆弱性により、権限のあるユーザーがWeb UIに任意のJavaScriptコードを埋め込むことができ、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.21以下、v8.5.5.26以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to an information disclosure (CVE-2023-50315)
CVEID: CVE-2023-50315
CVSS Base Score: 5.3
発行日: 2024年8月14日
要約:
IBM WebSphere Application Server にて、ネットワークにアクセスできる攻撃者が なりすまし攻撃(スプーフィング攻撃) を行える可能性があります。 攻撃者は、認証局から発行された証明書を使用して、この脆弱性を悪用し、機密情報を取得できる可能性があります。
該当レベル:
v9.0.5.20以下、v8.5.5.26以下
2024年8月20日追記、9月17日更新: 
注意事項:
この脆弱性に対処するために修正(ifix PH58798 もしくは FixPack 9.0.5.21/8.5.5.27以降)を適用した場合、WAS ランタイムはアウトバウンドでのSSL接続を確立する際の妥当性チェックをより厳密に行うことになります。詳細は以下の技術文書をご確認ください。
Hostname verification for WebSphere Application Server traditional
具体的には、WAS がクライアントとして動作する際、サーバー証明書のSAN(サブジェクト別名)のホスト名が、SSL接続確立時に使用されたホスト名と一致しているかどうかを確認するようになります。一致していない場合には、接続が失敗する可能性があります。アウトバウンド接続する際に、相手先のホストにおいて、自身の一致するホスト名のSANを保持する証明書が存在することをご確認下さい。例えば、Cell 内の内部通信や、WAS サーバー上で稼働するアプリケーションが別のサーバーで稼働するデータベースや他ホストに接続する場合などにご注意ください。
不一致が避けられない環境では、不一致を許容するための追加プロパティの構成が必要になります。
今回新たに導入される追加プロパティは以下2つです。
com.ibm.ssl.verifyHostname: デフォルトは true です。
説明: このプロパティがtrueに設定されると、クライアントが開始するすべてのSSL接続で、ターゲットサーバのホスト名とIPアドレスの検証が強制されます。WebSphere は、WebSphere 提供の SSLSocketFactory (JVM 上のデフォルトの SSLSocketFactory) を介して確立されたすべての接続について、クライアントの URL で指定されたホスト名または IP アドレスが、サーバーが提示する SSL 証明書のサブジェクト代替名 (SAN) と一致することを保証します。 SANに該当するホスト名が含まれていない場合、検証はホスト名と証明書のコモン・ネーム(CN)を照合します。 不一致が検出された場合、SSL接続は拒否されます。 このプロパティは、グローバル・レベルとSSL構成レベルで設定できます。
com.ibm.ssl.skipHostnameVerificationForHosts: カンマ区切りで値を指定します。
説明: このプロパティには、ホスト名、IPアドレス、またはその両方をカンマ区切りで指定できます。 指定すると、com.ibm.ssl.verifyHostname プロパティが true に設定されていても、クライアントは SSL 接続中に指定された項目のホスト名と IP アドレスの検証をスキップします。 デフォルトでは、このプロパティは空に設定されており、クライアントはSSL接続内のすべてのホスト名とIPアドレスを検証します。 このプロパティは、グローバル・レベルとSSL構成レベルで設定できます。
なおこのプロパティは、以下の場合は動作しません。
  • WebSphere が提供するもの以外の SSLSocketFactories (例えば、デフォルトの JDK SSLSocketFactory, Apache HTTPClient SSLSocketFactory)
  • ホスト名やIPアドレス情報なしで最初に作成されるソケット
これらのプロパティは、グローバル・セキュリティー の カスタム・プロパティー、SSL構成レベルの カスタム・プロパティー、もしくはクライアント(例: wsadmin や他のスクリプトツール)の ssl.client.props にて設定します。
注意: WAS ND 環境の場合には、各ノードにて syncNode を実行し、プロパティーを設定した Deployment Manager と同期しなければなりません。

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to information disclosure (CVE-2023-50314)
https://www.ibm.com/support/pages/node/7165502
CVEID: CVE-2023-50314
CVSS Base Score: 5.3
発行日:
2024年8月14日
要約:
IBM WebSphere Application Server Libertyにて、ネットワークにアクセスできる攻撃者が なりすまし攻撃(スプーフィング攻撃) を行える可能性があります。攻撃者は、認証局から発行された証明書を使用して、この脆弱性を悪用し、機密情報を取得できる可能性があります。
該当レベル:
Liberty v17.0.0.3 - v24.0.0.8
2024年8月19日追記、9月18日更新: 
注意事項:
この脆弱性に対処するために修正(ifix IFPH58796 もしくは FixPack 24.0.0.9以降)を適用した場合、Libertyランタイムは、アウトバウンドでのSSL接続を確立する際の妥当性チェックをより厳密に行うことになります。詳細は以下の技術文書をご確認ください。

Hostname verification for Liberty
https://www.ibm.com/support/pages/node/7163230
具体的には、Libertyがクライアントとなり、アウトバウンドでのSSL接続を確立する際に、サーバー証明書のSAN(サブジェクト別名)のホスト名が、SSL接続確立時に使用されたホスト名と一致しているかどうかを確認するようになります。一致していない場合には、接続が失敗する可能性があります。
アウトバウンド接続する際に、相手先のホストにおいて、自身の一致するホスト名のSANを保持する証明書が存在することをご確認下さい。例えば、Libertyサーバー上で稼働するアプリケーションが、別のサーバーで稼働するデータベースや他ホストに接続する場合には、ご注意ください。
不一致が避けられない環境では、不一致を許容するための追加プロパティの構成が必要になります。
今回新たに導入される追加プロパティは以下2つです。
verifyHostname: デフォルトはtrueです。
説明: このプロパティがtrueに設定されると、クライアントが開始するすべてのSSL接続で、ターゲットサーバのホスト名とIPアドレスの検証が強制されます。Liberty は、Liberty 提供の SSLSocketFactory (JVM 上のデフォルトの SSLSocketFactory) を介して確立されたすべての接続について、クライアントの URL で指定されたホスト名または IP アドレスが、サーバーが提示する SSL 証明書のサブジェクト代替名 (SAN) と一致することを保証します。 SANに該当するホスト名が含まれていない場合、検証はホスト名と証明書のコモン・ネーム(CN)を照合します。 不一致が検出された場合、SSL接続は拒否されます。 このプロパティは、グローバル・レベルと <ssl> 構成レベルで設定できます。
skipHostnameVerificationForHosts: カンマ区切りで値を指定します。
説明: このプロパティには、ホスト名、IPアドレス、またはその両方をカンマ区切りで指定できます。 指定すると、verifyHostname プロパティが true に設定されていても、クライアントは SSL 接続中に指定された項目のホスト名と IP アドレスの検証をスキップします。 デフォルトでは、このプロパティは空に設定されており、クライアントはSSL接続内のすべてのホスト名とIPアドレスを検証します。 このプロパティは、グローバル・レベルと <ssl> 構成レベルで設定できます。
なお、このプロパティは、以下の場合は動作しません。
  • Liberty が提供するもの以外の SSLSocketFactories (例えば、デフォルトの JDK SSLSocketFactory, Apache HTTPClient SSLSocketFactory)
  • ホスト名やIPアドレス情報なしで最初に作成されるソケット
これらのプロパティは、各SSL構成ごとに設定します。Libertyサーバーのserver.xml、もしくは、Libertyクライアントのclient.xmlにて設定します。
例えば、defaultSSLconfigにおいて、verifyHostnameの値をfalseに設定する場合は、以下のようになります。
<ssl id="defaultSSLConfig" verifyHostname="false" />
なお、できましたら、IBMとしては、上記プロパティによりホスト名を検証する動作を無効(もしくは一部無効)にさせるのではなく、接続先のホスト名と一致するSANを保持するサーバー証明書を使用されますことを強く推奨いたします。

Security Bulletin: IBM HTTP Server is vulnerable to multiple vulnerabilities due to the included Apache HTTP Server (CVE-2024-40898, CVE-2024-40725)
https://www.ibm.com/support/pages/node/7160865
発行日:2024年7月22日
CVEID:   CVE-2024-40898
CVSS Base score: 5.9
要約:
Apache HTTP Serverは、Windows環境で、server/vhostコンテキストにおけるmod_rewriteのエラーにより、SSRF(Server-Side Request Forgery)に対して脆弱です。攻撃者は、特別に細工されたリクエストを送信することで、この脆弱性を悪用し、悪意のあるサーバーにNTLMハッシュを漏洩できる可能性があります。
CVEID:   CVE-2024-40725
CVSS Base score: 5.9
要約:
Apache HTTP Serverは、CVE-2024-39884の修正に関連する、ハンドラーのレガシーコンテンツタイプベース設定の一部の使用を無視する不完全な修正により、リモート攻撃者が機密情報を取得することを許容します。AddTypeを使用することで、攻撃者はこの脆弱性を悪用し、ローカルコンテンツのソースコードを漏洩できる可能性があります。
に開示する可能性があります。
該当レベル:
v9.0.5.20以下、v8.5.5.26以下

本脆弱性への対応として以下の修正(PH62263)が公開されており、その文書に以下が記載されています。
https://www.ibm.com/support/pages/node/7159808
影響を受ける環境:
CVE-2024-40898: WindowsのIHS で mod_rewrite を使用している
CVE-2024-40725: IHSでAddTypeディレクティブを使用してハンドラー(PHPや他のスクリプト言語など)の構成をしている。AddTypeはApache 1.3から、ファイルの拡張子とハンドラーを関連づける古い方法です。よりモダンな構成ではこの脆弱性の影響を受けないAddHandlerを使用します。
振る舞いの変更:
- ネットワーク共有(//servernameなど)の使用には、UNCListディレクティブでIPアドレスまたはホスト名を指定する必要があります。このディレクティブは、//servernameのリモートパスを参照する他のディレクティブ(Alias, DocumentRoot, または <Directory>など)より前に記述する必要があります。
UNCListディレクティブは複数のホスト名/IPアドレスを引数として取りますが、重複できません。(サンプルは原文を参照してください。)

Security Bulletin: IBM HTTP Server is vulnerable to multiple vulnerabilities due to the included Apache HTTP Server
https://www.ibm.com/support/pages/node/7159849
発行日:2024年7月9日
CVEID:   CVE-2024-38472
CVSS Base score: 5.9
要約:
Apache HTTP Serverは、Windows UNCの不適切な検証により、SSRF(Server-Side Request Forgery)に対して脆弱です。 攻撃者は、特別に細工したリクエストを送信することにより、この脆弱性を悪用してNTMLハッシュを悪意のあるサーバーに漏洩させる可能性があります。
CVEID:   CVE-2024-38473
CVSS Base score: 5.3
要約:
Apache HTTP Serverのmod_proxyのエンコードの欠陥により、リモートの攻撃者はセキュリティ制限を回避できる可能性があります。 不正なエンコードで特別に細工されたリクエストを送信することにより、攻撃者はこの脆弱性を悪用して認証検証を回避する可能性があります。
CVEID:   CVE-2024-38474
CVSS Base score: 8.2
要約:
Apache HTTP Serveのmod_rewriteの置換エンコーディングの問題により、リモートの攻撃者がシステム上で任意のコードを実行できる可能性があります。 攻撃者は、特別に細工したリクエストを送信することにより、この脆弱性を悪用して、構成で許可されたディレクトリ内のスクリプトを実行する可能性があります。
CVEID:   CVE-2024-38475
CVSS Base score: 8.2
要約:
Apache HTTP Serverのmod_rewriteの出力のエスケープが不適切であるため、リモートの攻撃者がシステム上で任意のコードを実行できる可能性があります。 攻撃者は、特別に細工したリクエストを送信することにより、この脆弱性を悪用して、URLを、サーバーによって提供が許可されているが、どのURLでも意図的または直接にはアクセスできないファイルシステムの場所にマッピングし、コードを実行する可能性があります。
CVEID:   CVE-2024-38476
CVSS Base score: 5.9
要約:
Apache HTTP Serverのバックエンド アプリケーションの応答ヘッダーの不適切な入力検証により、リモートの攻撃者は機密情報を取得できるようになります。 攻撃者は、特別に細工したリクエストを送信することにより、この脆弱性を悪用して機密情報を取得したり、SSRF(Server-Side Request Forgery)を実行したり、ローカル スクリプトを実行したりする可能性があります。
CVEID:   CVE-2024-38477
CVSS Base score: 7.5
要約:
Apache HTTP Serverは、mod_proxyのNULLポインタ参照の欠陥により、サービス拒否攻撃に対して脆弱です。 特別に細工されたリクエストを送信することにより、リモートの攻撃者はこの脆弱性を悪用してDoS(Denial of Service)状態を引き起こす可能性があります。
CVEID:   CVE-2024-39573
CVSS Base score: 5.9
要約:
Apache HTTP Serverは、mod_rewriteの欠陥により、SSRF(Server-Side Request Forgery)に対して脆弱です。 特別に細工されたリクエストを送信することで、攻撃者はこの脆弱性を悪用して安全でない RewriteRules を引き起こし、mod_proxyが処理するURLを予期せず設定する可能性があります。
該当レベル:
v9.0.5.20以下、v8.5.5.26以下
本脆弱性への対応として以下の修正(PH61893)が公開されており、その文書に以下が記載されています。
https://www.ibm.com/support/pages/node/7159808
影響を受ける環境:
CVE-2024-38472: Windows上のIHS
CVE-2024-38473, CVE-2024-38477: IHS 9.0 でmod_proxyをロードしている
CVE-2024-38474, CVE-2024-38475: IHS で mod_rewrite をロードしている
CVE-2024-38476: IHSでmod_negotiationかCGIモジュールをロードしている
CVE-2024-39573: IHSでmod_rewriteとmod_proxyを両方ロードしている
振る舞いの変更:
- 悪意のないURLがエンコードされた疑問符(%3F )を使用している場合、 "?"を置換に追加するいくつかのRewriteRulesは、UnsafeAllow3Fフラグを追加しない限り、403を返します。
- mod_rewriteの置換が変数または後方参照で始まり、PTフラグがなく、最初のパスセグメントがファイルシステムのルートのディレクトリに一致する場合、UnsafePrefixStatフラグを追加しない限り、置換はURLをそのディレクトリにマップしなくなります。

Security Bulletin: IBM WebSphere Application Server is vulnerable to remote code execution (CVE-2024-35154)
https://www.ibm.com/support/pages/node/7159825
発行日:
2024年7月8日
CVEID: CVE-2024-35154
CVSS Base Score: 7.2
要約:
 WebSphere Application Serverの管理コンソールで任意のコードを実行できる脆弱性です。
 WebSphere Application Serverの管理コンソールにアクセスできるユーザーが任意のコードを実行できる脆弱性です。特殊に細工された入力を使うことで、攻撃者はこの脆弱性を利用しそのシステムで任意のコードを実行できます。
該当レベル
 v9.0.5.20以下、v8.5.5.25以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting (CVE-2024-35153)
https://www.ibm.com/support/pages/node/7158662
発行日:
2024年6月25日
CVEID: CVE-2024-35153
CVSS Base Score: 4.8
要約:
WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.20以下、v8.5.5.25以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to identity spoofing (CVE-2024-37532)
CVEID: CVE-2024-37532
CVSS Base Score: 8.8
発行日:
2024年6月19日
要約:
IBM WebSphere Application Serverの、署名の検証が不適切であるため、認証されたユーザーによるIdentity spoofingの脆弱性です。
該当レベル:
9.0.5.20以下、8.5.5.25以下

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to a denial of service (CVE-2024-25026)
https://www.ibm.com/support/pages/node/7149330
CVEID: CVE-2024-25026
CVSS Base Score: 5.9
発行日:
2024年4月24日
要約:
IBM WebSphere Application Server および IBM WebSphere Applicaation Server Liberty のDOSの脆弱性です。リモートの攻撃者は細工したリクエストを送ることで、サーバー側のメモリ枯渇を引き起こすことができる可能性があります。
該当レベル:
v9.0.5.19以下、v8.5.5.25以下, Liberty v18.0.0.2 - v24.0.0.4でservlet-3.0, servlet-3.1, servlet-4.0, servlet-5.0, または servlet-6.0 feature が有効な環境

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to an XML External Entity (XXE) injection vulnerability (CVE-2024-22354)
https://www.ibm.com/support/pages/node/7148426
CVEID: CVE-2024-22354
CVSS Base Score: 7
発行日:
2024年4月16日
要約:
IBM WebSphere Application ServerおよびIBM WebSphere Application ServerLibertyの、XMLデータ処理時の、XMLの外部実体参照を利用した攻撃(XXE攻撃)の脆弱性です。
リモートの攻撃者はこの脆弱性を利用し、センシティブな情報を漏洩させたりメモリリソースを消費したり、SSRF(Server-Side Request Forgery)攻撃を行える可能性があります。
該当レベル:
v9.0.5.19以下、v8.5.5.25以下、IBM WebSphere Application Server Liberty v17.0.0.3 - v24.0.0.5

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to server-side request forgery (CVE-2024-22329)
https://www.ibm.com/support/pages/node/7148380
CVEID: CVE-2024-22329
CVSS Base Score: 4.3
発行日:
2024年4月16日
要約:
IBM WebSphere Application ServerおよびIBM WebSphere Application Server LibertyのSSRF(Server-Side Request Forgery)の脆弱性です。
攻撃者は特殊に細工されたリクエストを送ることで、この脆弱性を利用し、SSRF攻撃を行える可能性があります。
該当レベル:
v9.0.5.19以下、v8.5.5.25以下、IBM WebSphere Application Server Liberty v17.0.0.3 - v24.0.0.3

Security Bulletin: IBM HTTP Server is vulnerable to HTTP response splitting due to the included Apache HTTP Server (CVE-2024-24795, CVE-2023-38709)
発行日:2024年4月10日
CVEID:   CVE-2024-24795
CVSS Base score: 6.5
要約: IBM HTTP Serverに含まれるApache HTTP Serverの複数のモジュールの欠陥によるHTTPレスポンス分割攻撃の脆弱性です。
リモートの攻撃者は、任意のHTTPヘッダーを注入し、URLがクリックされると分割された応答をサーバーに返させることができる可能性があります。これにより、攻撃者に更なる攻撃(Webキャッシュポイズニングやクロスサイトスクリプティングなど)を可能にさせ、センシティブな情報が取得される可能性があります。

CVEID:   CVE-2023-38709
CVSS Base score: 6.5
要約: IBM HTTP Serverに含まれるApache HTTP Serverのコア機能の不適切な入力バリデーションによるHTTPレスポンス分割攻撃の脆弱性です。
リモートの攻撃者は、任意のHTTPヘッダーを注入し、URLがクリックされると分割された応答をサーバーに返させることができる可能性があります。これにより、攻撃者に更なる攻撃(Webキャッシュポイズニングやクロスサイトスクリプティングなど)を可能にさせ、センシティブな情報が取得される可能性があります。

該当レベル:
v9.0.5.19以下、v8.5.5.25以下

緩和策および影響を受ける環境:
CVE-2023-38709: WebSphere Plug-in以外のHTTP Proxyモジュールをロードしており、悪意のある、または悪用可能なバックエンドアプリケーションがある環境
CVE-2024-24795: mod_cgi、mod_cgid または mod_proxy_fcgi をロードしており、悪意のある、または悪用可能なバックエンドアプリケーションがある環境
CVE-2023-52425: mod_davまたはサードパーティ製のモジュールがロードされており、かつ、LimitXMLRequestBodyが数100MB以上に設定されている環境
    (※ 今回の修正にCVE-2023-52425に対する修正も含まれているため記載しております。)
振る舞いの変更:
CVE-2024-24795: CGIレスポンスのContent-Lengthヘッダーは無視されるようになります。CGIまたはCGIのようなモジュールからのContent-Lengthヘッダーを信用するには、Apacheの環境変数 ap_trust_cgilike_cl をtrueにセットします。
CVE-2023-52425: v8.5ではLimitXMLRequestBodyの上限が100MB(デフォルトは1MB)となります。v9は変更ありません。
    (※ 今回の修正にCVE-2023-52425に対する修正も含まれているため記載しております。)

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to a denial of service due to jose4j (CVE-2023-51775)
https://www.ibm.com/support/pages/node/7145942
CVEID: CVE-2023-51775
CVSS Base Score: 7.5
発行日:
2024年4月4日
要約:
WebSphere Applicaation Server traditional および Liberty の jose4j library の脆弱性です。
jose4j は、不適切な入力の検証が原因で生じるサービス妨害に対して脆弱です。リモートの攻撃者は、特別に細工した p2c 値を送信することによりこの脆弱点を悪用し、サービス妨害を引き起こす可能性があります。
該当レベル:
v9.0.5.19以下、v8.5.5.25以下、Liberty v21.0.0.3 - v24.0.0.3で openidConnectClient-1.0、 socialLogin-1.0、 mpJwt-1.2、 mpJwt-2.0、 mpJwt-2.1 または jwt-1.0 featureが有効な環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service (CVE-2024-27268)
https://www.ibm.com/support/pages/node/7145809
CVEID: CVE-2024-27268
CVSS Base Score: 5.9
発行日:
2024年4月3日
要約:
WebSphere Applicaation Server Liberty のDOSの脆弱性です。リモートの攻撃者は細工したリクエストを送ることで、サーバー側のメモリ枯渇を引き起こすことができる可能性があります。
該当レベル:
Liberty v18.0.0.2 - v24.0.0.3でservlet-3.1, servlet-4.0, servlet-5.0, または servlet-6.0 feature が有効でHTTP/2プロトコルが有効な環境
注意点:
お使いのLibertyにおいてHTTP/2プロトコルが有効かどうかは上記文書内に確認方法が記載されたリンクがございます。

Security Bulletin: IBM WebSphere Application Server could provide weaker than expected security (CVE-2023-50313)
https://www.ibm.com/support/pages/node/7145620
 
CVEID: CVE-2023-50313
CVSS Base Score: 5.3
発行日:
2024年4月1日
要約:
IBM WebSphere Application Server は、アウトバウンドのTLS接続において、ユーザー構成に対処できず、期待よりも弱いセキュリティーを使用する可能性があります。
該当レベル:
v9.0.5.19以下、v8.5.5.25以下
 
2024年4月19日追記:
2024年4月17日に修正パッケージの置き換えがありました。4月17日以前にダウンロードされた修正パッケージでは、以下の2種類のタイプのサーバーが起動できない可能性があるためです。
 - WebSphere Proxy Servers
 - (java) On Demand Routers
以下のような例外メッセージが出力されます。
Caused by: com.ibm.websphere.ssl.SSLException: The specified sslAlias =com.ibm.ssl.alias does not exist
4月17日以前にダウンロードされた修正パッケージを適用された場合には、一度アンインストールしていただき、最新の修正パッケージをインストールください。
 
また、PH58869の修正を適用しますと、存在しないSSL別名(sslAlias)が構成されているサーバーでは、以下の例外メッセージが発生することがあります。
例:
com.ibm.websphere.ssl.SSLException: The specified sslAlias =localhost/DefaultSSLSettings does not exist..
この例外メッセージを回避するためには、セキュリティー・カスタム・プロパティーに、以下のプロパティを定義します。
com.ibm.websphere.ssl.fallback.for.nonexistent.alias=true

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service (CVE-2024-22353)
CVEID: CVE-2024-22353
CVSS Base Score: 5.9
発行日:
2024年3月27日
要約:
WebSphere Applicaation Server Liberty のDOSの脆弱性です。リモートの攻撃者は細工したリクエストを送ることで、サーバー側のメモリ枯渇を引き起こすことができる可能性があります。
該当レベル:
Liberty v17.0.0.3 - v24.0.0.3でopenidConnectClient-1.0またはsocialLogin-1.0 feature が有効な環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to cross-site scripting (CVE-2024-27270)
https://www.ibm.com/support/pages/node/7145231
CVEID: CVE-2024-27270
CVSS Base Score: 4.7
発行日:
2024年3月26日
要約:
IBM WebSphere Application Server Liberty のクロスサイトスクリプティングの脆弱性です。この脆弱性により、ユーザーは特殊に細工されたURIに任意のJavaScriptコードを埋め込むことができます。
該当レベル:
Liberty v23.0.0.3 - v24.0.0.3で、servlet-6.0 の featureが有効になっている環境

Security Bulletin: IBM HTTP Server is vulnerable to a denial of service due to libexpat (CVE-2023-52425)
https://www.ibm.com/support/pages/node/7129933
発行日:2024年03月05日
CVEID:   CVE-2023-52425
CVSS Base score: 7.5
要約:
IBM HTTP Serverに含まれるlibexpatの不適切なシステムリソース割り当て処理により、リモートの攻撃者が、極めて大きなトークンを使用した特殊に細工されたリクエストを送ることで、DOS攻撃を引き起こすことができる脆弱性になります。

該当レベル:
v9.0.5.18以下、v8.5.5.25以下
緩和策および影響を受ける環境:
mod_davまたはサードパーティ製のモジュールがロードされており、かつ、LimitXMLRequestBodyが数100MB以上に設定されている環境は影響を受ける可能性があります。

Security Bulletin: IBM WebSphere Application Server Liberty could provide weaker than expected security (CVE-2023-50312)
https://www.ibm.com/support/pages/node/7125527
CVEID: CVE-2023-50312
CVSS Base Score: 5.3
発行日:
2024年2月28日
要約:
LibertyはoutboundのTLS接続において、構成されているものよりも弱いセキュリティーを使用する可能性があります。
該当レベル:
Liberty v17.0.0.3 - V24.0.0.2

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to information disclosure due to Apache Santuario (CVE-2023-44483)
https://www.ibm.com/support/pages/node/7076305
CVEID: CVE-2023-44483
CVSS Base Score: 6.5
発行日:
2023年11月15日
要約:
IBM WebSphere Application Server Liberty は、wsSecurity-1.1, wsSecuritySaml-1.1 や samlWeb-2.0 の featureを利用している場合、Apache Santuario ライブラリの脆弱性の影響を受ける可能性があります。
Apache Santuarioを使用し、JSR 105 APIを使用してログファイルに秘密鍵(private key)を保管することにより、リモートの認証された攻撃者はセンシティブな情報を取得できる可能性があります。
ログファイルにアクセスすることによって、攻撃者はこの脆弱性を悪用して秘密鍵(private key)の情報を入手でき、この情報を使って、影響を受けたシステムに対してさらなる攻撃を仕掛けることができる可能性があります。
該当レベル:
Liberty v17.0.0.3 - v23.0.0.11で、wsSecurity-1.1, wsSecuritySaml-1.1 や samlWeb-2.0 の featureが有効になっている環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service (CVE-2023-44487)
https://www.ibm.com/support/pages/node/7076252
CVEID: CVE-2023-44487
CVSS Base Score: 7.5
発行日:
2023年11月15日
要約:
servlet-3.1, servlet-4.0, servlet-5.0 や servlet-6.0 の featureが有効で、かつ HTTP/2 プロトコルを有効になっているLiberty環境は、DOS攻撃に対して脆弱です。
いくつかのベンダーは、HTTP/2プロトコルの高速リセットの欠陥により引き起こされるDOS攻撃に対して脆弱です。非常に多くのHTTP/2リクエストとRST_STREAMフレームを複数のストリーム上で送ることで、リモートの攻撃者はサーバー側のリソースを枯渇させることができる場合があります。
該当レベル:
Liberty v18.0.0.2 - v23.0.0.11で、servlet-3.1, servlet-4.0, servlet-5.0 や servlet-6.0 の featureが有効で、かつ HTTP/2 プロトコルを有効になっている環境

Security Bulletin: IBM HTTP Server is vulnerable to information disclosure due to the included Apache HTTP Server (CVE-2023-31122)
https://www.ibm.com/support/pages/node/7060076
発行日:2023年10月25日
CVEID:   CVE-2023-31122
CVSS Base score: 7.5
要約:
リモートの攻撃者は、mod_macroモジュールの境界外の読み込みの欠陥を突き、センシティブな情報を得ることができます。特殊に細工されたリクエストを送ることで、攻撃者は、この脆弱性を不正利用し、センシティブな情報を取得し、その情報を使い、その影響を受けるシステムに対し更なる攻撃を行うことができる可能性があります。

該当レベル:
v9.0.5.17以下
該当する環境:
本脆弱性への対応として以下の修正(PH57715)が公開されており、その文書に記載されています。
https://www.ibm.com/support/pages/node/7059858
mod_macroモジュールをロードしている構成のみ該当します。

Security Bulletin: IBM WebSphere Application Server Liberty could provide weaker than expected security (CVE-2023-46158)
https://www.ibm.com/support/pages/node/7058356
CVEID: CVE-2023-46158
CVSS Base Score: 4.9
発行日:
2023年10月24日
要約:
IBM WebSphere Application Server Liberty は、appSecurity-1.0, appSecurity-2.0, appSecurity-3.0, appSecurity-4.0 や appSecurity-5.0 のfeatureを利用している場合、不適切な リソースの有効期限処理が原因で、期待よりも弱いセキュリティーを使用する可能性があります。
該当レベル:
Liberty v23.0.0.9 および v23.0.0.10で、appSecurity-2.0, appSecurity-3.0, appSecurity-4.0 や appSecurity-5.0 のfeatureが有効な環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service (CVE-2023-38737)
https://www.ibm.com/support/pages/node/7027509
 
CVEID: CVE-2023-38737
CVSS Base Score: 5.9
 
発行日:
2023年8月15日
 
要約:
restfulWS-3.0 や restfulWS-3.1 のfeatureが有効なWebSphere Libertyにおいて、リモートの攻撃者は、特殊に細工されたリクエストを送ることで、サーバーのメモリーリソースを枯渇させることができる可能性があります(DoS攻撃) 。

該当レベル:
Liberty v22.0.0.13 - V23.0.0.7で、restfulWS-3.0 や restfulWS-3.1 のfeatureが有効な環境

Security Bulletin: Vulnerability in IBMR Java SDK affects IBM WebSphere Application Server due to CVE-2022-40609
https://www.ibm.com/support/pages/node/7022475
CVEID: CVE-2022-40609
CVSS Base score: 8.1
発行日:
2023年8月7日
要約:
WebSphere Application Serverにおいて、ORB通信のデシリアライズ処理に脆弱性が報告されました。
攻撃者は、この脆弱性をつくような特殊なリクエストを送信することで、任意のコードを実行し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
Java8.0.5.0未満をお使いのすべてのWASv9/WASv8.5

Security Bulletin: IBM WebSphere Application Server could provide weaker than expected security (CVE-2023-35890)
https://www.ibm.com/support/pages/node/7007857
CVEID: CVE-2023-35890
CVSS Base Score: 5.1
発行日:
2023年6月28日
要約:
IBM WebSphere Application Server はローカル構成ファイル内の不適切なエンコードが原因で、期待よりも弱いセキュリティーを使用する可能性があります
該当レベル:
v8.5.5.23、v9.0.5.15、v9.0.5.16

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service due to GraphQL Java (CVE-2023-28867)
https://www.ibm.com/support/pages/node/6999681
CVEID: CVE-2023-28867
CVSS Base Score: 7.5
発行日:
2023年5月31日
要約:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureが有効なLibertyが使用するGraphQL Javaライブラリーは、スタックベースのバッファオーバーフローによるDOS攻撃に脆弱です。リモートの攻撃者は、特殊に細工されたリクエストを送ることで、スタック消費を引き起こすことができます。
該当レベル:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureを利用しているLiberty(17.0.0.3 - 23.0.0.5)

Security Bulletin: IBM HTTP Server is vulnerable to information disclosure due to IBM GSKit (CVE-2023-32342)
https://www.ibm.com/support/pages/node/6998037
発行日:2023年5月24日
CVEID:   CVE-2023-32342
CVSS Base score: 7.5
要約:
IBM HTTP ServerがSSL接続に使用しているGSKitの情報漏洩の脆弱性です。リモートの攻撃者は、RSA復号化実装において、タイミングに基づくサイドチャネル攻撃が行える可能性があります。復号化のためのトライアルメッセージを非常に多く送ることで、攻撃者はこの脆弱性を利用しセンシティブな情報を取得できる可能性があります。
該当レベル:
v9.0.5.15以下、8.5.5.23以下
緩和策および影響を受ける環境:
SSLEnableを有効にしている環境ではRSA鍵交換を無効にすることで、今回のCVEに対して脆弱ではなくなります。
RSA鍵交換を無効にする方法については以下のリンクを参照してください。
https://publib.boulder.ibm.com/httpserv/ihsdiag/ssl_questions.html#ROBOT

Security Bulletin: IBM WebSphere Application Server is vulnerable to an XML External Entity (XXE) Injection vulnerability (CVE-2023-27554)
https://www.ibm.com/support/pages/node/6989451
発行日:
2023年5月10日
CVEID: CVE-2023-27554
CVSS Base Score: 6.3
要約:
WebSphere Application ServerがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.15以下、v8.5.5.23以下

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to spoofing when using Web Server Plug-ins (CVE-2022-39161)
https://www.ibm.com/support/pages/node/6987779
発行日:
2023年05月03日
CVEID: CVE-2022-39161
CVSS Base Score: 4.8
要約:
Webサーバープラグイン(WebSphereプラグイン/WebSphere Plugin)を使用している構成で、認証されたユーザーがなりすまし攻撃を行える可能性があります。中間者攻撃を行う攻撃者は信用局から発行された証明書を用いてセンシティブな情報を取得できる可能性があります。
該当レベル:
Webサーバープラグイン v9.0.5.15以下、v8.5.5.23以下を使用しているWebSphere Application Server(以下WAS)およびLiberty環境
注意事項:
この脆弱性に対処するためにWebサーバープラグインに修正を適用した場合、後段の割り振り先サーバーとプラグインの間のSSL接続を確立する際の妥当性チェックがより厳密になります。
具体的には、後段のサーバー証明書のCommon Name, SAN DNS Name, SAN IP addressのいずれかが、以下の2点と一致しているかどうかがチェックされます。
  • plugin-cfg.xmlの中で、SSLプロトコルで構成されているホスト名またはIPアドレス
  • Intelligent Management(以下IM)の機能を使用されている場合(plugin-cfg.xmlにIntelligentMangementエレメントの構成がある)はWAS側から動的に取得された後段の割り振り先サーバーのホスト名またはIPアドレス
一致していない場合には、Webサーバーが起動しなかったり、割り振りが失敗する可能性があります。不一致が避けられない環境では、不一致を許容するための追加プロパティの構成が必要になります。
割り振り先がLibertyの場合には、pluginConfigurationエレメントのextraConfigPropertiesで追加のプロパティを構成することができます。WASの場合には、追加プロパティを構成するためにはWAS側にも修正の適用が必要になります。WAS側に修正を適用せずに追加プロパティを構成しても、それを含んだplugin-cfg.xmlは生成されません。
今回新たに導入される追加プロパティは以下6つです。(デフォルト値、設定可能値についてはこちら(英語)を参照してください)
HostVerificationStartupCheck: デフォルトtrueで、Webサーバー起動時にplugin-cfg.xmlに定義されているすべての httpsプロトコルのTransportに対してホスト名のチェックを試みます。一つでも不一致と判定された場合にはWebサーバーは起動しません。v9のみ、KillWebServerStartUpOnParseErrというプラグインのプロパティをfalseにすることで、不一致の場合でも起動させることができますが、後段のサーバーには割り振りが行えない状態となります。
なお、IM機能が有効な場合には、この始動時のチェックは行われません。
SecureHostVerification: デフォルトtrue-markdownで、プラグインは割り振り先サーバーにセキュア接続の確立を試みる度にホスト名のチェックを行い、不一致の場合は、そのサーバーを一定期間(デフォルト60秒)downとマークします。falseにすると、プラグインとしては一切(先述の起動時のチェックや後述のIM機能が有効な場合のチェックを含む)のホスト名のチェックを行いません。この場合、CVE-2022-39161の影響を受ける状態となります。
IMSecureConnectorVerification: IM機能が有効な場合、plugin-cfg.xmlで定義されているhttpsプロトコルのConnectorに対してホスト名のチェックを行います。
IMSecureEndpointVerification: IM機能が有効な場合、Connector経由で取得した割り振り先に対してホスト名のチェックを行います。
GlobalHostAlias: プラグインとして不一致を許容したいサーバー証明書のCommon Name, SAN DNS Name, SAN IP addressを、カンマ区切り(スペースを含めず)で指定できます。アスタリスク(*)は文字として認識されます。サーバー証明書がワイルドカード/アスタリスクを含む値を持つ場合は、文字ではなくワイルドカードとして一致判定に考慮されます。
HostnameAlias: plugin-cfg.xmlに定義されている httpsプロトコルのTransport毎に、不一致を許容したいサーバー証明書のCommon Name, SAN DNS Name, SAN IP addressをいずれか一つを指定できます。GlobalHostAliasよりも先にチェックされます。アスタリスク(*)は文字として認識されます。サーバー証明書がワイルドカード/アスタリスクを含む値を持つ場合は、文字ではなくワイルドカードとして一致判定に考慮されます。TransportがIPアドレスでHostnameAliasが構成されていない場合には、DNSで逆引が可能な場合には、そのホスト名がHostnameAliasとして考慮されます。
以上です。
なお、plugin-cfg.xmlをマージされている場合には、HostnameAliasは手動でのマージが必要です。
もし不一致が生じた場合には、Webサーバーのhttpd.confファイルで定義されているplugin-cfg.xmlの中で指定されているプラグインログ(http_plugin.log)に、以下のようなメッセージがログされ、どのように一致しなかったのかの詳細がその後にログされます。

ERROR: lib_stream: validateErrCond_GenMsg: -----------------------------------------------------------------------------------------------------------
ERROR: lib_stream: validateErrCond_GenMsg: -- Certificate provided by ***** failed the hostname validation checks. Use the information following to help make corrections.
その他、設定方法やよくあるQA、Side effectなどの詳細は PH48747: WebSphere web server plug-in changes to certificate hostname validation (https://www.ibm.com/support/pages/node/6982543) をご参照ください。

Security Bulletin:Vulnerability in IBM® Java SDK affects IBM WebSphere Application Server and IBM WebSphere Application Server Liberty due to CVE-2023-30441
https://www.ibm.com/support/pages/node/6986617
発行日:
2023年04月27日
CVEID: CVE-2023-30441
CVSS Base Score: 7.5
要約:
IBM WebSphere Application Server および IBM WebSphere Application Server Liberty に同梱されている IBM SDK、Java Technology Edition の脆弱性です。 IBMJCEPlus および JSSE コンポーネントは、欠陥と構成の組み合わせから機密情報が漏洩する可能性があります。
提供される IBM Java ランタイムを使用して独自の Java コードを実行する場合は、コードを評価して脆弱性がコードに適用されるかどうかを判断する必要があります。 詳しくは、当ページの References セクションにある IBM Java SDK Security Bulletin のリンクを参照してください。
該当レベル:
Java 8 SR7 FP15 未満をお使いのWASv85, v9, Liberty 環境で、Java security Provider設定でIBMJCEPlus Providerが、IBMJCE Providerより優先設定されている環境
※Java8.07.0よりデフォルト設定でIBMJCEPlus Providerが優先されています。
Enabling the IBMJCEPlus and IBMJCEPlusFIPS providers
https://www.ibm.com/docs/en/sdk-java-technology/8?topic=providers-enabling-ibmjceplus-ibmjceplusfips

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting in the Admin Console (CVE-2023-24966)
https://www.ibm.com/support/pages/node/6986333
発行日:
2023年4月26日
CVEID: CVE-2023-24966
CVSS Base Score: 6.1
要約:
WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.15以下、v8.5.5.23以下

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to a denial of service due to Apache Commons FileUpload (CVE-2023-24998)
https://www.ibm.com/support/pages/node/6982047
発行日:
2023年04月11日
CVEID: CVE-2023-24998
CVSS Base Score: 7.5
要約:
WASおよびservlet-3.0, servlet-3.1, servlet-4.0, servlet-5.0 または servlet-6.0のfeatureを利用しているLibertyが使用しているApache Commons FileUploadライブラリーは、ファイルアップロード機能において、処理されるリクエストパート数の上限がないことによりDOS攻撃に対して脆弱性です。
連続的なアップロードと共に特殊に細工されたリクエスト送ることで、リモートの攻撃者がDOS攻撃を行える可能性があります。
この上限数は、新しいWebコンテナーのカスタムプロパティcom.ibm.ws.webcontainer.maxFileCount(デフォルト5000)で調整可能です。
該当レベル:
9.0.5.15以下、8.5.5.23以下、servlet-3.0, servlet-3.1, servlet-4.0, servlet-5.0 または servlet-6.0のfeatureを利用しているLiberty(17.0.0.3 - 23.0.0.3)

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a privilege escalation due to RESTEasy (CVE-2023-0482)
https://www.ibm.com/support/pages/node/6982895
発行日:
2023年04月11日
CVEID: CVE-2023-0482
CVSS Base Score: 5.3
要約:
restfulWS-3.0 または restfulWS-3.1のfeatureを利用しているLibertyが使用しているRESTEasyライブラリーの脆弱性です。
ローカルの認証された攻撃者は、DataSourceProvider, FileProvider, Mime4JWorkaroundクラスが使用するFile.createTempFile()内で安全ではない一時ファイルを生成することで、そのシステムにおいて昇格された特権を取得できる可能性があります。
該当レベル:
restfulWS-3.0 または restfulWS-3.1のfeatureを利用しているLiberty(21.0.0.12 - 23.0.0.3)

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting in the Admin Console (CVE-2023-26283)
https://www.ibm.com/support/pages/node/6964836
発行日:
2023年3月21日
CVEID: CVE-2023-26283
CVSS Base Score: 5.4
要約:
WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
ユーザーはWeb UIに任意のJavaScriptを埋め込むことで、本来の機能を変更し、クリデンシャルの漏洩を引き起こすことが可能となります。
該当レベル:
v9.0.5.14以下

Security Bulletin: IBM HTTP Server is vulnerable to HTTP request splitting due to the included Apache HTTP Server (CVE-2023-25690)
https://www.ibm.com/support/pages/node/6963650
発行日:2023年3月15日
CVEID:   CVE-2023-25690
CVSS Base score: 6.1
要約:
mod_prorxyやWebSphere Pluginを使用しているIBM HTTP Serverのリクエスト分割の脆弱性です。
mod_proxyが有効で、かつRewriteRuleやProxyPassMatchが何らかの形で使用されている場合に、リクエスト分割の攻撃に対して脆弱になります。
リモートの攻撃者はこの脆弱性を利用し、プロキシサーバーのアクセス制御を回避したり、意図しないURLを既存のオリジンサーバーにプロキシーしたり、キャッシュ汚染が可能になる可能性があります。
該当レベル:
v9.0.5.15以下、8.5.5.23以下
緩和策および影響を受ける環境:
- mod_rewriteを使用しており、そのURLがWebSphere Pluginかmod_proxyに処理される構成
    - RewriteRuleディレクティブのSubstitutionで後方参照や他の変数を使用している場合にのみ脆弱です

Security Bulletin: IBM HTTP Server is vulnerable to a denial of service (CVE-2023-26281)
https://www.ibm.com/support/pages/node/6958522
発行日:2023年2月27日
CVEID:   CVE-2023-26281
CVSS Base score: 5.9
要約:
リモートのユーザーが特殊に細工されたリクエストを使ってDOS攻撃を可能にする脆弱性です。
該当レベル:
PH51982の個別修正を適用した v8.5.5.22 または 8.5.5.23

Security Bulletin: IBM HTTP Server is vulnerable to multiple vulnerabilities due to the included Apache HTTP Server and Apache Portable Runtime
https://www.ibm.com/support/pages/node/6955577
発行日:2023年2月14日
CVEID:   CVE-2022-28331
CVSS Base score: 9.8
要約:
Apache Portable Runtime (APR)のapr_socket_sendv()関数内でのIntegerオーバーフローを引き起こすことで、リモートの攻撃者はそのシステム上で任意のコードを実行できてしまう脆弱性です。攻撃者は特殊に細工されたリクエストを送ることで、そのシステム上で任意のコードを実行したりDOS攻撃を行える可能性があります。
CVEID:   CVE-2022-36760
CVSS Base score: 7.5
要約:
mod_proxy_ajp内の一貫性のないHTTPリクエストの解釈によるHTTP Request Smuggling(HRS)の脆弱性です。攻撃者はリクエスト転送先のAJPサーバーにリクエストを潜り込ませることができる可能性があります。
CVEID:   CVE-2022-37436
CVSS Base score: 6.1
要約:
mod_proxyを使用した悪意のあるバックエンドを使用することで、HTTPレスポンス分割攻撃ができる可能性がある脆弱性です。リモートの攻撃者は、任意のHTTPヘッダーを注入し、URLがクリックされると分割された応答をサーバーに返させることができる可能性があります。これにより、攻撃者に更なる攻撃(Webキャッシュポイズニングやクロスサイトスクリプティングなど)を可能にさせ、センシティブな情報が取得される可能性があります。
CVEID:   CVE-2006-20001
CVSS Base score: 5.3
要約:
mod_dav内での境界外の読み込み、またはゼロバイトの書き込みによるDOS攻撃の脆弱性です。特殊に細工された if: リクエストヘッダーを送ることで、プロセスをクラッシュさせることができる可能性があります。
CVEID:   CVE-2022-25147
CVSS Base score: 9.8
要約:
Apache Portable Runtime (APR)のapr_base64関数内で、Integerオーバーフローを引き起こすことにより、システム上で任意のコードを実行できる可能性のある脆弱性です。特殊に細工されたリクエストを送ることで、そのシステム上で任意のコードを実行できたり、DOS攻撃が行える可能性があります。
該当レベル:
v9.0.5.14以下、v8.5.5.23以下
緩和策および影響を受ける環境:
本脆弱性への対応として以下の修正(PH51982)が公開されており、その文書に記載されています。
https://www.ibm.com/support/pages/node/6955257
CVE-2022-36760
mod_proxy_ajpがロードされている環境にて影響を受ける可能性があります。
なお、このモジュールはIHSv9では提供されていません。
CVE-2006-20001
mod_davがロードされている環境にて影響を受ける可能性があります。
CVE-2022-37436
mod_proxy_httpがロードされている環境にて影響を受ける可能性があります。
CVE-2022-25147
サードパーティモジュールやLuaスクリプトを使用している環境にて影響を受ける可能性があります。
CVE-2022-28331
Windows環境にて影響を受ける可能性があります。

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to information disclosure due to Apache James MIME4J (CVE-2022-45787)
https://www.ibm.com/support/pages/node/6953779
発行日:
2023年02月08日
CVEID: CVE-2022-45787
CVSS Base Score: 5.5
要約:
restfulWS-3.0 featureが有効になっているLibertyが使用するApache James MIME4Jライブラリーの脆弱性です。
Apache James MIME4Jライブラーの一時ファイルの不適切なlaxist permissionにより、ローカルの認証された攻撃者は特殊に細工されたリクエストを送ることにより、センシティブな情報を取得できる可能性があります。そして、その情報を使い、そのシステムに対して更なる攻撃を行うことができる可能性があります。
該当レベル:
restfulWS-3.0のfeatureを利用しているLiberty(21.0.0.12 - 23.0.0.1)

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to server-side request forgery due to Apache CXF (CVE-2022-46364)
https://www.ibm.com/support/pages/node/6953767
発行日:
2023年02月08日
CVEID: CVE-2022-46364
CVSS Base Score: 9.8
要約:
jaxws-2.2 featureが有効になっているLibertyが使用するApache CXFライブラリーの脆弱性です。
MTOMリクエスト内のxop:Includeのhref属性をパースする処理に欠陥があり、特殊に細工されたリクエストを送ることで、攻撃者はこの脆弱性を利用し、SSRF(Server-Side Request Forgery)攻撃が実行できる可能性があります。
該当レベル:
jaxws-2.2のfeatureを利用しているLiberty(17.0.0.3 - 23.0.0.1)

Security Bulletin: IBM WebSphere Application Server is vulnerable to a remote code execution vulnerability (CVE-2023-23477)
https://www.ibm.com/support/pages/node/6891111
発行日:
2023年1月31日
CVEID: CVE-2023-23477
CVSS Base Score: 8.1
要約:
WebSphere Application Serverに対して、リモートの攻撃者が特殊に細工されたシリアライズ化された一連のオブジェクトを送ることで、そのシステムで任意のコードを実行できてしまう脆弱性です。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下

Security Bulletin: IBM WebSphere Application Server traditional container is vulnerable to information disclosure (CVE-2022-43917)
https://www.ibm.com/support/pages/node/6857007
発行日:
2023年1月23日
CVEID: CVE-2022-43917
CVSS Base Score: 5.9
要約:
IBM WebSphere Application Server traditional コンテナーが期待されるよりも弱い暗号鍵を使用しているため、攻撃者がセンシティブな情報を復号化できてしまう恐れのある脆弱性です。
該当レベル:
2023年1月23日以前に作成されたWebSphere Application Server traditionalのコンテナーイメージ

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a denial of service due to Google protobuf-java (CVE-2022-3171, CVE-2022-3509)
https://www.ibm.com/support/pages/node/6841889
発行日:
2022年11月28日
CVEID: CVE-2022-3171
CVSS Base Score: 5.7
要約:
protobuf-java core および lite の、バイナリおよびテキストフォーマットデータのパース処理の欠陥によるDOS脆弱性です。
反復または不明フィールドを含む非反復埋め込みメッセージを送ることで、リモートの認証された攻撃者はこの脆弱性を利用し、長時間のGC停止を引き起こすことができます。
CVEID: CVE-2022-3509
CVSS Base Score: 5.7
要約:
protobuf-java core および lite の、テキストフォーマットデータのパース処理の欠陥によるDOS脆弱性です。
反復または不明フィールドを含む非反復埋め込みメッセージを送ることで、リモートの認証された攻撃者はこの脆弱性を利用し、長時間のGC停止を引き起こすことができます。
該当レベル:
grpc-1.0 や grpcClient-1.0のfeatureを利用しているLiberty(21.0.0.2 - 22.0.0.12)

Security Bulletin: IBM HTTP Server is vulnerable to denial of service due to libexpat (CVE-2022-43680, CVE-2013-0340, CVE-2017-9233)
https://www.ibm.com/support/pages/node/6839161
発行日:2022年11月14日
CVEID:   CVE-2022-43680
CVSS Base score: 7.5
要約:
libexpatの脆弱性により、メモリ枯渇の状況で、XML_ExternalEntityParserCreate内での共有DTDの過剰な破壊によって引き起こされる解放済みメモリ使用によって、リモートの攻撃者はDOS攻撃が可能になることがあります。

CVEID:   CVE-2013-0340
CVSS Base score: 4.3
要約:
expatの脆弱性により、不適切な内部エンティティ拡張の処理でDOS攻撃が引き起こされます。被害者に特殊に細工されたXML文書を開くように誘導することで、攻撃者は全ての利用可能なリソースを消費させることができます。
CVEID:   CVE-2017-9233
CVSS Base score: 5.3
要約:
libexpatは、パーサー内でのXML外部エンティティの脆弱性によるDOS攻撃に脆弱です。特殊に細工されたXMLを使用することで、リモートの攻撃者は無限ループを引き起こすことが可能です。
該当レベル:
v9.0.5.14以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下

CVE-2022-43680, CVE-2013-0340 および CVE-2017-9233
z/OS版のIHSはこの脆弱性の影響を受けません。この修正には過去の修正も累積的に含まれているため、適用は可能です。
サードパーティ製のモジュールが追加されていない場合は影響を受けません。
サードパーティ製のモジュールが追加されており、且つそのモジュールが脆弱性の報告されている関数を使用している場合は影響を受ける可能性があります。

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting in the Admin Console (CVE-2022-40750)
https://www.ibm.com/support/pages/node/6833552
CVEID: CVE-2022-40750
CVSS Base Score: 5.4
発行日:
2022年11月1日
要約:
IBM WebSphere Application Serverで、アプリケーション・マイグレーション・レポート機能を使用する際に、管理コンソールにおいてクロスサイトスクリプティングの脆弱性があります。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to denial of service due to GraphQL Java (CVE-2022-37734)
https://www.ibm.com/support/pages/node/6832094
CVEID: CVE-2022-37734
CVSS Base Score: 7.5
発行日:
2022年10月26日
要約:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureが有効なLibertyが使用するGraphQL Javaライブラリーで、リソース消費制限の欠陥により、DOS攻撃が可能になる脆弱性です。
リモートの攻撃者は、Directiveの過負荷を用いた特殊に細工されたリクエストを送ることで、DOS攻撃が可能になります。
該当レベル:
mpGraphQL-1.0 や mpGraphQL-2.0のfeatureを利用しているLiberty(17.0.0.3 - 22.0.0.11)

Security Bulletin: IBM WebSphere Application Server is vulnerable to SOAPAction spoofing (CVE-2022-38712)
https://www.ibm.com/support/pages/node/6829907
CVEID: CVE-2022-38712
CVSS Base Score: 5.9
発行日:
2022年10月17日
要約:
IBM WebSphere Application ServerがJAX-WS Webサービスリクエストを処理する際のSOAPActionのなりすましの脆弱性です。
これにより、SOAPActionのなりすましの中間者攻撃により、望ましくない、または許可されていないやりとりが実行される可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM HTTP Server is vulnerable to arbitrary code execution due to Expat (CVE-2022-40674)
https://www.ibm.com/support/pages/node/6827119
IBM HTTP Server(以下IHS)にて任意のコードを実行されてしまう可能性のある脆弱性が報告されています。
IHS自体はこの脆弱性に該当しませんが、サードパーティ製のモジュールを使用されている場合は注意が必要です。
CVEID:   CVE-2022-40674
CVSS Base score: 9.8
発行日:
2022年10月5日
要約:
libexpatライブラリに含まれるxmlparse.cのdoContent関数にてuser-after-freeの脆弱性が報告されています。
この脆弱性により、リモートから任意のコードを実行されてしまう可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下
緩和策および影響を受ける環境:
本脆弱性への対応として以下の修正(PH49572)が公開されており、その文書に記載があります。
IBM HTTP Server is vulnerable to arbitrary code execution due to Expat (CVE-2022-40674 CVSS 9.8)
https://www.ibm.com/support/pages/node/6826609
CVE-2022-40674
  • z/OS版のIHSはこの脆弱性の影響を受けません
  • サードパーティ製のモジュールが追加されていない場合は影響を受けません
  • サードパーティ製のモジュールが追加されており、且つそのモジュールが脆弱性の報告されている関数を使用している場合は影響を受ける可能性があります

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to a Denial of Service due to Neko HTML (CVE-2022-24839)
CVEID: CVE-2022-24839
CVSS Base Score: 7.5
発行日:
2022年9月28日
要約:
IBM WebSphere Application Server の Neko HTML による DOS の脆弱性です。
Sparkle Motion Nokogiri による org.cyberneko.html のフォークで不適切なHTMLマークアップを解析する際に java.lang.OutOfMemoryError を引き起こします。
リモートの攻撃者は、特別に細工したリクエストを送信することにより、この脆弱性を悪用してサービス拒否状態を引き起こす可能性があります。
該当レベル:
Liberty v17.0.0.3 - v22.0.0.10 で openid-2.0 feature が有効な環境

Security Bulletin: IBM WebSphere Application Server is vulnerable to Server-Side Request Forgery (CVE-2022-35282)
https://www.ibm.com/support/pages/node/6824179
CVEID: CVE-2022-35282
CVSS Base Score: 4.3
発行日:
2022年9月27日
要約:
IBM WebSphere Application ServerのSSRF(Server-Side Request Forgery)の脆弱性です。
ローカルネットワークにアクセスできる攻撃者は、特殊に細工されたリクエストを送ることで、センシティブな情報を取得できてしまう脆弱性です。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM WebSphere Application Server is vulnerable to cross-site scripting in the Admin Console (CVE-2022-34336)
https://www.ibm.com/support/pages/node/6619699
CVEID: CVE-2022-34336
CVSS Base Score: 5.4
発行日:
2022年9月12日
要約:
IBM WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to HTTP header injection (CVE-2022-34165)
https://www.ibm.com/support/pages/node/6618747
CVEID: CVE-2022-34165
CVSS Base Score: 5.4
発行日:
2022年9月7日
要約:
WebSphere Application Server traditional および Libertyにおいて、HTTPリクエストを処理する際の不適切な妥当性チェックにより、HTTPヘッダーインジェクションの脆弱性があります。
攻撃者は、キャッシュ汚染やクロスサイトスクリプティングなどを含む様々な攻撃を行う可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下、Liberty v17.0.0.3 - v22.0.0.9

Security Bulletin: IBM WebSphere Application Server is vulnerable to Cross-site Scripting (CVE-2022-22477)
https://www.ibm.com/support/pages/node/6603417
CVEID: CVE-2022-22477
CVSS Base Score: 6.1
発行日:
2022年7月19日
要約:
IBM WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。
この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.13以下、v8.5.5.22以下
 
2022年10月20日追記:
以前リリースされていた修正(PH46332)が、新しい修正(PH50116)に同梱されることになりました。
すでに 修正(PH46332)を適用済みの環境であっても、CVE-2022-22477の脆弱性への完全な対応として、改めて、新しい修正(PH50116)を適用いただく必要があります。
なお、修正(PH50116)を適用する前に、修正(PH46332)を事前にアンインストールする必要はありません。そのまま修正(PH50116)を適用頂けます。

Security Bulletin: IBM WebSphere Application Server is vulnerable to an information disclosure (CVE-2022-22473)
https://www.ibm.com/support/pages/node/6603421
CVEID: CVE-2022-22473
CVSS Base Score: 3.7
発行日:
2022年7月13日
要約:
IBM WebSphere Application Serverにて、管理コンソール・データの不適切な処理によって、リモートの攻撃者がセンシティブな情報を取得し、その情報をそのシステムのさらなる攻撃に利用できてしまう可能性がある脆弱性です。
該当レベル:
v9.0.5.12以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to Identity Spoofing (CVE-2022-22476)
https://www.ibm.com/support/pages/node/6602015
CVEID: CVE-2022-22476
CVSS Base Score: 5
発行日:
2022年7月7日
要約:
IBM WebSphere Application Server Liberty及びOpen Libertyの、特別に細工されたリクエストを使用して認証されたユーザーによるIdentity spoofingの脆弱性です。
該当レベル:
Liberty v17.0.0.3 - v22.0.0.7にてappSecurity-1.0, appSecurity-2.0, appSecurity-3.0 または appSecurity-4.0フィーチャーを使っている環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to spoofing due to Eclipse Paho (CVE-2019-11777)
https://www.ibm.com/support/pages/node/6602039
CVEID: CVE-2019-11777
CVSS Base Score: 7.5
 
発行日:
2022年7月7日
 
要約:
Libertyのrtcomm-1.0 および rtcommGateway-1.0 featureで使用されているEclipse Pahoライブラリーの脆弱性です。
Eclipse Paho Java クライアントはリモートの攻撃者が、MQTTサーバーにTLSを使用しホスト名検証を設定して接続した際にチェックロジックの不備を利用して、をセキュリティ制限をバイパスすることができます。
特殊に細工されたリクエストを送ることで、攻撃者はあるMQTTサーバーを別のサーバーになりすまし、クライアントライブラリーに誤った情報を提供することができます。
 
該当レベル:
Liberty v17.0.0.3 - v22.0.0.7で rtcomm-1.0 または rtcommGateway-1.0 featureが有効な環境

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server
https://www.ibm.com/support/pages/node/6595149
発行日:2022年6月15日
CVEID: CVE-2022-28614
CVSS Base score: 5.3
要約:
Apache HTTP Serverにて、ap_rwrite関数でのエラー悪用にて機密情報を不正に取得される可能性のある脆弱性が報告されています。
mod_luasのr:puts()関数などと共にap_rwrite() 関数やap_rputs()を使って非常に大きな入力データを反映させることで、意図しないメモリ領域を読まれてしまう可能性があります。
CVEID: CVE-2022-28615
CVSS Base score: 6.5
要約:
Apache HTTP Serverにて極めて大きい入力バッファーをap_strcmp_match()に渡して境界外のデータを読ませることにより、機密情報を不正に取得される可能性のある脆弱性が報告されています。
この脆弱性を悪用することにより、クラッシュや不正な情報開示が引き起こされる可能性があります。
CVEID: CVE-2022-29404
CVSS Base score: 5.3
要約:
Apache HTTP Serverにて、入力データのサイズに対するデフォルト制限がないことを悪用した脆弱性が報告されています。
特殊に細工したリクエストを送信してr:parsebody(0)関数を使うluaスクリプトを呼び出すことにより、サービス不能状態を引き起こされる可能性があります。

CVEID: CVE-2022-26377
CVSS Base score: 7.3
要約:
Apache HTTP ServerにてHTTPリクエストスマグリングの脆弱性が報告されています。
この脆弱性は、mod_proxy_ajpモジュールにて整合性のとれない解釈が発生しうることに起因しています。
この脆弱性を悪用することにより、AJPサーバーに問題のあるリクエストを送信されてしまう可能性があります。
CVEID: CVE-2022-31813
CVSS Base score: 5.3
要約:
Apache HTTP Serverにてセキュリティの制約をバイパスされる可能性のある脆弱性が報告されています。
この脆弱性は、クライアント側の接続制御ヘッダーhop-by-hopメカニズムに基づいたX-Forwarded-*ヘッダーを配信元サーバーへ送信する際、その送信に失敗することがあるという問題に起因しています。
この脆弱性を悪用することにより、配信元サーバー(あるいはアプリケーション)でのIPベースの認証をバイパスされてしまう可能性があります。
CVEID: CVE-2022-30556
CVSS Base score: 5.3
要約:
Apache HTTP Serverにて、mod_luaモジュールでのwebsocket処理時の問題を悪用して機密情報を不正に取得される可能性のある脆弱性が報告されています。
バッファーに割り当てられたストレージの終端を越えたr:wsread()関数の呼出を行うことにより、アプリケーションに長さを返してしまう可能性があります。
該当レベル:
v9.0.5.12以下、v8.5.5.22以下、v8.0.0.15以下、 v7.0.0.45以下
緩和策および影響を受ける環境:
本脆弱性への対応として以下の修正(PH46897)が公開されており、その文書に記載されています。
PH46897:Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server (CVE-2022-26377 CVSS 7.3 and more)
https://www.ibm.com/support/pages/node/6594853
CVE-2022-26377
mod_proxy_ajpのロードおよび構成が行われている環境にて影響を受ける可能性があります。
このモジュールはv9.0のリリースでは提供されていません。
CVE-2022-28614 & CVE-2022-28615
mod_luaモジュールのロードおよび構成が行われている環境、あるいはサード・パーティによるモジュールが影響を受ける可能性があります。
CVE-2022-29404 (9.0 only)
mod_luaモジュールのロードおよび構成が行われている環境にて影響を受ける可能性があります。
CVE-2022-30556 (9.0 only)
mod_luaモジュールのロードおよび構成が行われている環境にて影響を受ける可能性があります。
CVE-2022-31813
mod_proxy_httpモジュールのロードおよび構成が行われており、且つバックエンドサーバーがX-Forwarded-Forヘッダーに依存した処理(セキュリティ周りなど)を行っている場合に影響を受ける可能性があります。

Security Bulletin: IBM WebSphere Application Server is vulnerable to Spoofing (CVE-2022-22365)
https://www.ibm.com/support/pages/node/6587947
CVEID: CVE-2022-22365
CVSS Base Score: 5.6
発行日:
2022年5月19日
要約:
Ajax Proxy Web Application (AjaxProxy.war)がデプロイされているWAS環境において、中間者攻撃を行う者が、SSLサーバーホスト名をなりすませる脆弱性です。
該当レベル:
v9.0.5.11以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to Identity Spoofing (CVE-2022-22475)
https://www.ibm.com/support/pages/node/6586734
CVEID: CVE-2022-22475
CVSS Base Score: 5
発行日:
2022年05月16日
要約:
IBM WebSphere Application Server Liberty及びOpen Libertyの認証ユーザーによるIdentity spoofingの脆弱性です。
該当レベル:
Liberty v17.0.0.3 - v22.0.0.5 にてappSecurity-1.0, appSecurity-2.0, appSecurity-3.0 または appSecurity-4.0フィーチャーを使っている環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to an Information Disclosure (CVE-2022-22393)
https://www.ibm.com/support/pages/node/6585704
CVEID: CVE-2022-22393
CVSS Base Score: 3.1
 
発行日:
2022年5月13日
 
要約:
adminCenter-1.0 feature が有効なLiberty環境で、認証されたユーザーが、アプリケーション・サーバでアクセス可能な HTTP/HTTPSポートのステータスを取得するよう要求できてしまう脆弱性です。
 
該当レベル:
Liberty v17.0.0.3 - v22.0.0.5で adminCenter-1.0 featureが有効な環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to spoofing attacks and clickjacking due to swagger-ui (CVE-2018-25031, CVE-2021-46708)
https://www.ibm.com/support/pages/node/6569505
発行日:2022年4月5日
WebSphere LibertyのmpOpenAPI-1.0, mpOpenAPI-1.1, mpOpenAPI-2.0, mpOpenAPI-3.0, openapi-3.0 または openapi-3.1 featureが使用するswagger-uiライブラリーに複数の脆弱性が確認されました。これらの脆弱性はスプーフィング攻撃、クリックハイジャック攻撃を可能にします。
CVEID:   CVE-2018-25031
CVSS Base score: 5.4
要約:
swagger-uiはリモートの攻撃者にスプーフィング攻撃を可能にさせます。被害者に特殊に細工されたURLを開かせることにより、攻撃者はこの脆弱性によりリモートのOpenAPIの定義を表示させることができます。
CVEID:   CVE-2021-46708
CVSS Base score: 4.3
要約:
npm swagger-ui-dist はリモートの攻撃者に被害者のクリックアクションをハイジャックすることを可能にさせます。悪意のあるサイトに被害者を誘導することで、リモートの攻撃者はこの脆弱性を用いて、被害者のクリックアクションをハイジャックし、更なる攻撃が行える可能性があります。

該当レベル:
Liberty v21.0.0.12 - v22.0.0.1で mpOpenAPI-1.0, mpOpenAPI-1.1, mpOpenAPI-2.0, mpOpenAPI-3.0, openapi-3.0,  openapi-3.1のいずれかのfeatureが有効な環境

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server (CVE-2022-22719, CVE-2022-22720, CVE-2022-22721)
https://www.ibm.com/support/pages/node/6565413
発行日:2022年3月22日
CVEID:   CVE-2022-22719
CVSS Base score: 5.3
要約: 
Apache HTTP Serverにて、ランダムメモリ領域を読ませることでプロセスのクラッシュを引き起こされる可能性のある問題が報告されています。
細工されたリクエストを送信することにより、サービス妨害を受ける可能性があります。
CVEID:   CVE-2022-22721
CVSS Base score: 7.3
要約: 
Apache HTTP Serverにて、バッファー・オーバーフローを引き起こす可能性のある問題が報告されています。
LimitXMLReuestBodyに非常に大きな値が設定されている場合、整数オーバーフローが発生し、システムでの任意のコードの実行やアプリケーションのクラッシュが発生する可能性があります。
CVEID:   CVE-2022-22720
CVSS Base score: 7.3
要約:
Apache HTTP Serverにてリクエストボディを破棄する際の接続クローズ処理にて、HTTPリクエスト・スマグリングによる攻撃を受ける可能性のある問題が報告されています。
transfer-encodingヘッダーを細工したリクエストを送信することにより、Webキャッシュの汚染やファイアウォールの迂回、クロスサイト・スクリプティング攻撃が発生する可能性があります。
該当レベル:
v9.0.5.11以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下
緩和策および影響を受ける環境:
本脆弱性への対応として以下の修正(PH44829)が公開されており、その文書に記載されています。
PH44829:Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server (CVE-2022-22720 CVSS 7.3 and more)
https://www.ibm.com/support/pages/node/6564709
CVE-2022-22719: 
mod_luaライブラリがロードされている環境にて、r:parsebodyを呼び出しているスクリプトが影響を受ける可能性があります。
CVE-2022-22721: 
32bit(31bit)版のIHSにて影響を受ける可能性があります。
apachectl -V (windows環境の場合はhttpd.exe -V)にてIHSのアーキテクチャを表示することができます。
CVE-2022-22720: 
RequestReadTimeoutが設定されていない環境にて影響を受ける可能性があります。
RequestReadTimeoutはmod_reqtimeoutモジュールにて定義されています。

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server due to Expat vulnerabilities
https://www.ibm.com/support/pages/node/6560814
Expat(libexpat)ライブラリにて複数の脆弱性が報告されていますが、IBM HTTP Serverはこれらの脆弱性による影響を受けます。
以下、各CVEに対する概要を記載します。
発行日:2022年3月2日
CVEID:   CVE-2022-25236
CVSS Base score: 5.3
要約:
Expat(libexpat)ライブラリにて、名前空間URIへのセパレータ挿入を許容してしまう可能性のある問題が報告されています。
細工されたリクエストを送信することにより、サービス妨害を受ける可能性があります。
CVEID:   CVE-2022-25235
CVSS Base score: 3.3
要約::
Expat(libexpat)ライブラリにて、入力データチェックが適切でない箇所がある、という問題が報告されています。
不正なエンコーディングにて細工されたコンテンツを開くよう仕向けることにより、サービス妨害を受ける可能性があります。
CVEID:   CVE-2022-25313
CVSS Base score: 5.5
要約:
Expat(libexpat)ライブラリのbuild_modelにて、スタックの枯渇を引き起こす可能性のある問題が報告されています。
細工された(DTD要素に深い階層構造を持たせた)ファイルを開くよう仕向けることにより、サービス妨害を受ける可能性があります。
CVEID:   CVE-2022-25315
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのstoreRawNamesにて、整数オーバーフローをを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
該当レベル:
v9.0.5.10以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server due to Expat vulnerabilities
https://www.ibm.com/support/pages/node/6559296
Expat(libexpat)ライブラリにて複数の脆弱性が報告されていますが、IBM HTTP Serverはこれらの脆弱性による影響を受けます。
以下、各CVEに対する概要を記載します。
発行日:2022年2月24日
CVEID:   CVE-2021-45960
CVSS Base score: 5.5
要約:
Expat(libexpat)ライブラリのstoreAtts関数にて、realloc関数の誤作動を引き起こす可能性のある問題が報告されています。
細工されたXMLコンテンツを開くよう仕向けることにより、リモートからの攻撃(アプリケーションのクラッシュ)を引き起こされる可能性があります。
CVEID:   CVE-2022-22822
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのaddBinding関数にて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-23990
CVSS Base score: 9.8
要約:
Expat(libexpat)ライブラリのdoProlog関数にて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたリクエストを送信することにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-22823
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのbuild_modelにて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-23852
CVSS Base score: 9.8
要約:
Expat(libexpat)ライブラリのXML_GetBuffer関数にて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたリクエストを送信することにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-22825
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのlookupにて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2021-46143
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのdoProlog関数にて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-22824
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのdefineAttributeにて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-22826
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのnextScaffoldPartにて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
CVEID:   CVE-2022-22827
CVSS Base score: 7.8
要約:
Expat(libexpat)ライブラリのstoreAttsにて、整数オーバーフローを引き起こす可能性のある問題が報告されています。
細工されたファイルを開くよう仕向けることにより、システムにて任意のコードを実行されてしまう可能性があります。
該当レベル:
v9.0.5.10以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to Clickjacking (CVE-2021-39038)
https://www.ibm.com/support/pages/node/6559044
CVEID: CVE-2021-39038
CVSS Base Score: 4.4
発行日:
2022年2月23日
要約:
以下の場合にクリックハイジャックの脆弱性が存在します。
- WebSphere Application Server traditionalで管理コンソールのWebコンテナー設定を通じてAPI Discoveryサービスを有効にするためにREST API discoveryが構成されている場合
- WebSphere LibertyでmpOpenAPI-1.0, mpOpenAPI-1.1, mpOpenAPI-2.0, apiDiscovery-1.0, openapi-3.0, openapi-3.1のいずれかのfeatureが有効になっている場合
被害者を悪意のあるWebサイトに誘導することで、リモートの攻撃者はこの脆弱性を用いて被害者のクリックアクションをハイジャックし、その被害者に対するさらなる攻撃が行える可能性があります。
該当レベル:
v9.0.5.10以下、Liberty v17.0.0.3 - v22.0.0.2で mpOpenAPI-1.0, mpOpenAPI-1.1, mpOpenAPI-2.0, apiDiscovery-1.0, openapi-3.0, openapi-3.1のいずれかのfeatureが有効な環境
注意点:
個別修正適用後はSwaggerUIの更新をwsadminを用いて行う必要があります。詳細は修正のDLページをご参照ください。

Security Bulletin: IBM WebSphere Application Server is vulnerable to remote code execution due to Dojo (CVE-2021-23450)
https://www.ibm.com/support/pages/node/6558594
CVEID: CVE-2021-23450
CVSS Base Score: 9.8
発行日:
2022年2月22日
要約:
WebSphere Application Server traditionalの管理コンソールおよびadminCenter-1.0 featureが有効なWebSphere Libertyで使用されているDojoライブラリーの脆弱性です。
setObject関数のプロトタイプ汚染の欠陥により、リモートの攻撃者はシステム上で任意のコードを実行できてしまう問題です。特殊に細工したリクエストを送ることで攻撃者はこの脆弱性を用いてそのシステムで任意のコードを実行できてしまいます。
該当レベル:
v9.0.5.11以下、v8.5.5.21以下、v8.0.0.15以下、 v7.0.0.45以下、Liberty v17.0.0.3 - v22.0.0.2で adminCenter-1.0 featureが有効な環境

Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to arbitrary code execution and SQL injection due to Apache Log4j. (CVE-2022-23302, CVE-2022-23307, CVE-2022-23305)
https://www.ibm.com/support/pages/node/6557248
WebSphere Application Serverの管理コンソール及びUDDIレジストリアプリケーション、WebSphere Liberty for z/OSのzosConnect-1.0 及び zosConnect-1.2 feature が使用するApache log4jライブラリの複数の脆弱性(CVE-2022-23302, CVE-2022-23305, CVE-2022-23307)です。log4jを除去することで対応されました。

発行日:
2022年2月17日
CVEID:   CVE-2022-23302
CVSS Base score: 8.8
要約:
Apache Log4jのJMSSinkの安全でないデシリアライズ処理により、リモートの認証された攻撃者はそのシステムで任意のコードを実行できる脆弱性です。特殊に細工されたTopicConnectionFactoryBindingNameを使用したJNDIリクエストを送ることで、攻撃者なこの脆弱性を利用しそのシステムで任意のコードを実行できます。
CVEID:   CVE-2022-23305
CVSS Base score: 6.5
要約:
Apache Log4jのSQLインジェクションの脆弱性です。リモートの攻撃者な特殊に細工されたSQL文をJDBCAppenderに送ることで、バックエンドのデータベイスの情報を閲覧、追加、更新、削除できてしまいます。
CVEID:   CVE-2022-23307
CVSS Base score: 9.8
要約:
Apache Log4jのApache Chainsawコンポーネント内の安全でないデシリアライズ処理により、リモートの攻撃者はそのシステムで任意のコードを実行できる脆弱性です。特殊に細工された入力を送ることで、攻撃者なこの脆弱性を利用しそのシステムで任意のコードを実行できます。
該当レベル:
v9.0.5.10以下、v8.5.5.20以下、v8.0.0.15以下、v7.0.0.45以下、Liberty v17.0.0.3 - v21.0.0.12で zosConnect-1.0 または zosConnect-1.2 featureが有効な環境
 
注意事項:
Security Bulletin: Multiple vulnerabilities in Apache log4j affect the IBM WebSphere Application Server and IBM WebSphere Application Server Liberty (CVE-2021-4104, CVE-2021-45046)と同じ注意事項です
1) UDDIレジストリアプリケーションをお使いの場合には、個別修正適用後にUDDIレジストリアプリケーションを再デプロイする必要があります。
2) <WAS_HOME>/installableApps/kc.warをインストールしている場合には、アンインストールしてください。詳細はFAQのQ9をご参照ください。個別修正適用後、<WAS_HOME>/installableApps/kc.warは削除されます。

回避策及び緩和策:
もしすぐに個別修正PH42762の適応ができない場合で、Security Bulletin: Multiple vulnerabilities in Apache log4j affect the IBM WebSphere Application Server and IBM WebSphere Application Server Liberty (CVE-2021-4104, CVE-2021-45046)https://www.ibm.com/support/pages/node/6526750の一時的な緩和策をまだ実施されていない場合には、それを全て実施します。状況の深刻さ、複雑さ、また状況が変わり得るため、修正適用の代わりに緩和策を実施することは推奨されません。

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to LDAP Injection (CVE-2021-39031)
https://www.ibm.com/support/pages/node/6550488
CVEID: CVE-2021-39031
CVSS Base Score: 7.5
発行日:
2022年01月24日
要約:
IBM WebSphere Application Server LibertyのLDAPインジェクション攻撃の脆弱性です。
該当レベル:
Liberty v17.0.0.3 - v22.0.0.1 にてldapRegistry-3.0フィーチャーを使っている環境

Security Bulletin: IBM WebSphere Application Server Liberty is vulnerable to an Information Disclosure (CVE-2022-22310)
https://www.ibm.com/support/pages/node/6541530
CVEID: CVE-2022-22310
CVSS Base Score: 4.8
発行日:
2022年1月18日
要約:
Libertyは期待されるよりも弱いセキュリティを提供してしまうことがあり、これによりリモートの攻撃者はセンシティブな情報を取得し、許可されていないJAX-WSアプリケーションにアクセスできてしまう脆弱性です。
該当レベル:
Liberty v21.0.0.10 - v21.0.0.12で jaxws-2.2 featureが有効な環境

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server
https://www.ibm.com/support/pages/node/6540288
CVEID: CVE-2021-44224
CVSS Base Score: 8.2
発行日:
2022年1月12日
要約:
Apache HTTP Serverにてサービス妨害もしくはサーバーサイドリクエストフォージェリの攻撃を受ける可能性のある脆弱性が報告されています。
特殊に細工されたURIをフォワードプロキシに送信することにより、NULLポインター間接参照による脆弱性を突かれる可能性があります。
また、特殊に細工されたURIをプロキシに送信することにより、指定されたエンドポイントにリクエストを直接送られてしまう可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.10以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by IBM WebSphere Application Server
https://www.ibm.com/support/pages/node/6540288
CVEID: CVE-2021-44790
CVSS Base Score: 9.8
発行日:
2022年1月12日
要約:
Apache HTTP Serverに含まれるluaモジュールのマルチパートパーサーにてバッファーオーバーフローの脆弱性が報告されています。
特殊に細工されたリクエストにてバッファーオーバーフロー攻撃をされることにより、悪意あるコードの実行やアプリケーションのクラッシュが引き起こされる可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.10以下

Security Bulletin: Multiple vulnerabilities in Apache log4j affect IBM WebSphere Application Server (CVE-2021-45105, CVE-2021-44832)
https://www.ibm.com/support/pages/node/6538148
WebSphere Application Serverの管理コンソール及びUDDIレジストリアプリケーションが使用するApache log4jライブラリの脆弱性です。log4jを除去することで対応されました。
発行日:
2022年1月4日
CVEID:   CVE-2021-45105
CVSS Base score: 7.5
要約:
Apache Log4jにおいて、自己参照による制御不能な再帰から保護されていないことに起因する、DoS(Denial of Service)攻撃が可能になる脆弱性があります。
スレッドコンテキストマップ(MDC)の入力データを制御できるリモートの攻撃者は、再帰的なルックアップを含む不正な入力データを作成し、StackOverflowErrorを発生させてプロセスを終了させることができる可能性があります。

CVEID:   CVE-2021-44832
CVSS Base score: 6.6
要約:
Apache Log4jにおいて、ロギング設定ファイルを変更する権限を持つリモートの攻撃者が、任意のコードをシステム上で実行できてしまう脆弱性です。
JNDI URI を参照するデータソースを使って JDBC Appender で不正な設定を行い、攻撃者はこの脆弱性を利用してリモートコードを実行できる可能性があります。

該当レベル:
v9.0.5.10以下、v8.5.5.20以下
修正:
個別修正PH42762の適用を推奨します。個別修正PH42762は、前述のCVE-2021-4104およびCVE-2021-45046に対応するために作成された修正ですが、WAS V8.5およびWAS V9にて影響を受ける本脆弱性にも対応しております。
(なお、本脆弱性については、WAS V7.0, V8.0および WebSphere Application Server Libertyは影響を受けません。)
注意事項:
1) UDDIレジストリアプリケーションをお使いの場合には、個別修正適用後にUDDIレジストリアプリケーションを再デプロイする必要があります。
2) <WAS_HOME>/installableApps/kc.warをインストールしている場合には、アンインストールしてください。詳細はFAQのQ9をご参照ください。個別修正適用後、<WAS_HOME>/installableApps/kc.warは削除されます。
回避策及び緩和策:
もしすぐに個別修正PH42762の適応ができない場合で、Security Bulletin: Multiple vulnerabilities in Apache log4j affect the IBM WebSphere Application Server and IBM WebSphere Application Server Liberty (CVE-2021-4104, CVE-2021-45046)https://www.ibm.com/support/pages/node/6526750の一時的な緩和策をまだ実施されていない場合には、それを全て実施します。状況の深刻さ、複雑さ、また状況が変わり得るため、修正適用の代わりに緩和策を実施することは推奨されません。

Security Bulletin: Multiple vulnerabilities in Apache log4j affect the IBM WebSphere Application Server and IBM WebSphere Application Server Liberty (CVE-2021-4104, CVE-2021-45046)
https://www.ibm.com/support/pages/node/6526750
WebSphere Application Serverの管理コンソール及びUDDIレジストリアプリケーション、WebSphere Liberty for z/OSのzosConnect-1.0 及び zosConnect-1.2 feature が使用するApache log4jライブラリの脆弱性です。log4jを除去することで対応されました。
発行日:
2021年12月15日

CVEID:   CVE-2021-4104
CVSS Base score: 8.1
要約:
リモートの攻撃者は、攻撃者がLog4jの構成に書き込みアクセスを持っている場合、信頼されていないデータをデシリアライズさせることで、任意のコードをシステム上で実行できてしまう脆弱性です。
デプロイされているアプリケーションがJMSAppenderを使用する場合、攻撃者はこの脆弱性を利用して任意のコードを実行できる可能性があります。

CVEID:   CVE-2021-45046
CVSS Base score: 9.0
要約:
Apache Log4Jは、デフォルトではない特定の構成において、CVE-2021-44228の修正が不完全であったため、DOS攻撃を受ける可能性があります。
Thread Context Map (MDC) input data または Thread Context Map patternをコントロールできるリモートの攻撃者は、JNDI Lookup patternを使用して悪意のある入力データを作成し、DOS攻撃を引き起こせる脆弱性です。

該当レベル:
v9.0.5.10以下、v8.5.5.20以下、v8.0.0.15以下、v7.0.0.45以下、Liberty v17.0.0.3 - v21.0.0.12で zosConnect-1.0 または zosConnect-1.2 featureが有効な環境
 
注意事項:
1) UDDIレジストリアプリケーションをお使いの場合には、個別修正適用後にUDDIレジストリアプリケーションを再デプロイする必要があります。
2) <WAS_HOME>/installableApps/kc.warをインストールしている場合には、アンインストールしてください。詳細はFAQのQ9をご参照ください。個別修正適用後、<WAS_HOME>/installableApps/kc.warは削除されます。

回避策及び緩和策:
もしすぐに個別修正PH42762の適応ができない場合には、以下の一時的な緩和策を全て実施してください。状況の深刻さ、複雑さ、また状況が変わり得るため、修正適用の代わりに緩和策を実施することは推奨されません。PH42762が適用できる最低レベルは7.0.0.45, 8.0.0.15, 8.5.5.11, 及び 9.0.5.3であるため、これ以下の場合には累積修正を適用することをお勧めします。もしすぐには個別修正を適用できない場合には、個別修正適用により除去されるlog4jのコピーを手動で除去することを一時的な回避策として実施することもご検討ください。
WebSphere Application Server traditional release 9.0のみ:
  • 管理コンソールが稼働する全てのシステムにおいて、<WAS_HOME>/systemApps/isclite.ear/kc.war/WEB-INF/lib/log4j*.jar を除去して、管理コンソールが稼働するサーバーを再起動してください。今後8.5.5.21または9.0.5.11以前の修正を適用された場合には、これらのファイルは元に戻る場合がありますのでご留意ください。
  • もし、kc.warをデプロイされている場合にはアンインストールしてください。詳細はFAQのQ9をご参照ください。その後、<WAS_HOME>/installableApps/kc.war を削除してください。
全てのWebSphere Application Server traditional releases:
  • UDDIレジストリアプリケーションを使用されている場合:<WAS_HOME>/installableApps/uddi.earからlog4j*.jarを除去し、そのearを再デプロイしてください。
  • UDDIレジストリアプリケーションを使用されていない場合:<WAS_HOME>/installableApps/uddi.ear を除去してください。
WebSphere Liberty for z/OS でzosConnect-1.0 または zosConnect-1.2 featureを利用している場合:
  • fileSystemloggerInterceptor を構成されている場合には、サーバーの構成ファイルから除去してください。

Security Bulletin: Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228)
https://www.ibm.com/support/pages/node/6525706
CVEID: CVE-2021-44228
CVSS Base Score: 10
発行日:
2021年12月12日
要約:
WebSphere Application Serverの管理コンソール及びUDDIレジストリアプリケーションが使用するオープンソースライブラリーであるLog4jの脆弱性です。JNDI機能によって攻撃者が制御するLDAP及びその他のJNDI関連のエンドポイントを使用することに対する保護ができておらず、リモートの攻撃者は、システム上で任意のコードを実行することができます。特殊に細工された文字列を送ることで、攻撃者は任意のJavaコードをサーバー上にロードすることができ、そのシステムの完全な制御を取得できてしまいます。
注:この脆弱性は、Log4ShellやLogJamとも呼ばれています。
該当レベル:
v9.0.5.10以下、v8.5.5.20以下
 
注意事項:
1) UDDIレジストリアプリケーションをお使いの場合には、個別修正適用後にUDDIレジストリアプリケーションを再デプロイする必要があります。
2) <WAS_HOME>/installableApps/kc.warをインストールしている場合には、アンインストールしてください。個別修正適用後、<WAS_HOME>/installableApps/kc.warは削除されます。
追加の推奨事項:
お客様アプリケーションのlog4j2の使用について確認にお時間がかかる場合には、以下のステップを実行されることをお勧めします。
1. WASが使用するJavaのレベルの更新 (7.0.10.35,  7.1.4.35, または 8.0.5.25 以降)
2. JVMシステムプロパティ(-Dlog4j2.formatMsgNoLookups=true)を設定
回避策及び緩和策:
もし個別修正の適用がすぐには行えない場合には、以下のステップを一時的に実施してください。
1. WASが使用するJavaのレベルの更新 (7.0.10.35,  7.1.4.35, または 8.0.5.25 以降)
2. 管理コンソールが稼働するシステムにおいて、<WAS_HOME>/systemApps/isclite.ear/kc.war/WEB-INF/lib/log4j*.jarを削除
3. JVMシステムプロパティ(-Dlog4j2.formatMsgNoLookups=true)を設定
4. <WAS_HOME>/installableApps/kc.warをインストールしている場合には、アンインストールしてください。

Security Bulletin: WebSphere Application Server is vulnerable to a Denial of Service (CVE-2021-38951)
https://www.ibm.com/support/pages/node/6524674
CVEID: CVE-2021-38951
CVSS Base Score: 7.5
発行日:
2021年12月8日
要約:
WebSphere Application Server の DOS の脆弱性です。リモートの攻撃者は、特殊に細工したリクエストを送ることでサーバーのCPUリソースを枯渇させることができる可能性があります。
該当レベル:
v9.0.5.10以下、v8.5.5.20以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6493841
CVEID: CVE-2021-34798
CVSS Base Score: 5.9
発行日:
2021年9月29日
要約:
Apache HTTP Serverにて、サービス妨害を受ける可能性のある問題が報告されています。
coreモジュールにてNULLポインター間接参照の問題が報告されており、リモートからの攻撃者が細工したリクエストを用いてこの問題を悪用することにより、サービス妨害を引き起こされる可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.9以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6493841
CVEID: CVE-2021-40438
CVSS Base Score: 9
発行日:
2021年9月29日
要約:
Apache HTTP Serverにて、SSRF(Server-Side Request Forgery)による攻撃を受ける可能性のある問題が報告されています。
mod_proxyモジュールにて問題が報告されており、リモートからの攻撃者が細工したリクエストを用いてこの脆弱性を悪用することにより、配信元のサーバーへ悪意のあるリクエストを送信されてしまう可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.9以下

Security Bulletin: Vulnerability in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6493845
CVEID: CVE-2021-39275
CVSS Base Score: 3.7
発行日:
2021年9月29日
要約:
Apache HTTP Serverにて、バッファオーバーフローの問題が報告されています。
リモートからの攻撃者が特殊に細工された入力を送信してこの問題を悪用することにより、バッファの終端以降への書き込みが行われてしまう可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.9以下、IBM HTTP Server v8.5.5.20以下、IBM HTTP Server v8.0.0.15以下、IBM HTTP Server v7.0.0.45以下

Security Bulletin: Multiple Vulnerabilities in Apache Commons Compress affect WebSphere Application Server Liberty (CVE-2021-33517, CVE-2021-36090)
https://www.ibm.com/support/pages/node/6489683
Libertyが使用しているApache Commonsライブラリーの複数の脆弱性が修正されています。
発行日:
2021年9月15日
CVEID: CVE-2021-33517
CVSS Base score: 5.5
要約:
Apache Commons Compressには、大量のメモリの割り当てによりメモリ不足を生じさせるDOS攻撃を可能にする脆弱性があります。
特別に細工されたTARファイルを開くように被害者を誘導することにより、リモートの攻撃者はCompressのtarパッケージを利用しているサービスに対してDOS状態を引き起こすことができる脆弱性です。

CVEID: CVE-2021-36090
CVSS Base score: 7.5
要約:
Apache Commons Compressには、大量のメモリの割り当てによりメモリ不足を生じさせるDOS攻撃を可能にする脆弱性があります。
特別に細工されたZIPファイルを読み込むことで、リモートの攻撃者はCompressのzipパッケージを利用しているサービスに対してDOS状態を引き起こすことができる脆弱性です。

該当レベル:
Liberty v17.0.0.3 - v21.0.0.9

Security Bulletin: WebSphere Application Server is vulnerable to Information Disclosure (CVE-2021-29842)
https://www.ibm.com/support/pages/node/6489485
CVEID: CVE-2021-29842
CVSS Base Score: 3.7
発行日:
2021年9月15日
要約:
WebSphere Application Serverの統合リポジトリの情報漏洩の脆弱性です。
ログインの試みで成功するケースと失敗するケースの差があることにより、リモートのユーザーはユーザー名を列挙することができます。
 
該当レベル:
v9.0.5.9以下、v8.5.5.20以下、v8.0.0.15以下、v7.0.0.45以下、Liberty v17.0.0.3 - v21.0.0.9で federatedRegistry-1.0 featureが有効な環境

Security Bulletin: WebSphere Application Server is vulnerable to a Privilege Escalation vulnerability (CVE-2021-29736)
https://www.ibm.com/support/pages/node/6476678
CVEID: CVE-2021-29736
CVSS Base score: 5
発行日:
2021年7月29日
要約:
WebSphere Application Serverは、リモート・ユーザーが昇格された特権を取得できてしまうといった脆弱性があります。
該当レベル:
v9.0.5.8以下、v8.5.5.20以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6464029
CVEID: CVE-2020-13938
CVSS Base Score: 6.2
発行日:
2021年6月15日
要約:
Apache HTTP Serverにて、サービス妨害を受ける可能性のある問題が報告されています。
権限が不適切に処理されてしまう問題を悪用することにより、ローカルの攻撃者によってwindows環境のhttpdプロセスを停止されてしまう可能性があります。
該当レベル:
IBM HTTP Server v9.0.5.7以下、IBM HTTP Server v8.5.5.19以下、IBM HTTP Server v8.0.0.15以下、IBM HTTP Server v7.0.0.45以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6464029
CVEID: CVE-2021-30641
CVSS Base Score: 5.3
発行日:
2021年6月15日
要約:
Apache HTTP Serverにて、'MergeSlash OFF'を設定した場合の挙動について問題が報告されています。
このふるまいを利用してURLを同一ドメインの全サイトにマッチングさせることにより、システムに対して攻撃を引き起こすことが出来てしまいます。
該当レベル:
IBM HTTP Server v9.0.5.7以下、IBM HTTP Server v8.5.5.19以下、IBM HTTP Server v8.0.0.15以下、IBM HTTP Server v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a Privilege Escalation vulnerability (CVE-2021-29754)
https://www.ibm.com/support/pages/node/6462627
CVEID: CVE-2021-29754
CVSS Base Score: 4.2
発行日:
2021年6月10日
要約:
WebSphere Application Serverで、SAML Web インバウンド・トラスト・アソシエーション・インターセプター (TAI) を使用する際に、権限昇格の脆弱性があります。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server ND is vulnerable to Directory Traversal vulnerability (CVE-2021-20517)
https://www.ibm.com/support/pages/node/6456955
CVEID: CVE-2021-20517
CVSS Base Score: 6.4
発行日:
2021年5月27日
要約:
IBM WebSphere Application Server Network Deployment (以下WAS ND)にてディレクトリトラバーサルの問題が報告されています。
(認証を受けている)リモートの攻撃者がURLに細工を入れた(/../を含んだ)リクエストを送信することにより、任意のファイルを読み書きできてしまう可能性があります。
該当レベル:
WAS ND v9.0.5.7以下、WAS ND v8.5.5.19以下

Security Bulletin: WebSphere Application Server Java Batch is vulnerable to an XML External Entity Injection (XXE) vulnerability (CVE-2021-20492)
https://www.ibm.com/support/pages/node/6456017
CVEID: CVE-2021-20492
CVSS Base Score: 6.5
発行日:
2021年5月25日
要約:
WebSphere Application ServerのJava BatchコンポーネントがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下、Liberty v17.0.0.3 - v21.0.0.6で batchManagement-1.0 featureが有効な環境

Security Bulletin: Multiple Vulnerabilities in Apache HttpComponents and HttpCommons affect WebSphere Application Server
https://www.ibm.com/support/pages/node/6453091
WebSphere Application Serverに影響を与える、Apache HttpComponents及びHttpCommonsライブラリーの複数の脆弱性が修正されています。
発行日:
2021年5月13日

CVEID: CVE-2015-5262
CVSS Base Score: 5.3
要約:
Apache Commonsは、HttpClientコンポーネントによるHTTP接続の最初のハンドシェークの際に、構成された接続の適用の失敗により、DOS攻撃を可能にする脆弱性を含みます。
攻撃者は、この脆弱性を悪用し、複数の接続を蓄積し、全ての利用可能なリソースを枯渇させることが出来ます。
CVEID: CVE-2014-3577
CVSS Base score: 4.3
要約:
Apache HttpComponentsは、サーバーのホスト名が、証明書のサブジェクトのCommon Name、またはSubjectAltNameフィールドとマッチしているかの妥当性チェックの失敗により、リモートの攻撃者はなりすまし攻撃を可能にします。
細工された証明書を含むWebサイトに被害者を誘導し、攻撃者は中間者攻撃の手法によりSSLサーバーのなりすましを行い、この脆弱性を悪用します。
CVEID: CVE-2012-6153
CVSS Base score: 4.3
要約:
Apache HttpComponentsは、サーバーのホスト名が、証明書のサブジェクトのCommon Name、またはSubjectAltNameフィールドとマッチしているかの妥当性チェックの失敗に関する不完全な修正により、リモートの攻撃者はなりすまし攻撃を可能にします。
細工された証明書を含むWebサイトに被害者を誘導し、攻撃者は中間者攻撃の手法によりSSLサーバーのなりすましを行い、この脆弱性を悪用します。

CVEID: CVE-2011-1498
CVSS Base score: 5
要約:
Apache HttpComponentsは、HttpClientの中の不明エラーにより、リモートの攻撃者がセンシティブな情報を取得することを可能にします。
攻撃者はこの脆弱性を悪用し、Proxy-Authorizationヘッダーをホストに送ることで、ユーザーのパスワードを漏洩させることが可能です。

該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下

Security Bulletin: WebSphere Application Server is vulnerable to an XML External Entity (XXE) Injection vulnerability (CVE-2021-20454)
https://www.ibm.com/support/pages/node/6445481
CVEID: CVE-2021-20454
CVSS Base Score: 8.2
発行日:
2021年4月20日
要約:
WebSphere Application ServerがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to an XML External Entity (XXE) Injection vulnerability (CVE-2021-20453)
https://www.ibm.com/support/pages/node/6445171
CVEID: CVE-2021-20453
CVSS Base Score: 8.2
発行日:
2021年4月19日
要約:
WebSphere Application ServerがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下

Security Bulletin: Vulnerability in Dojo affects WebSphere Application Server (CVE-2020-5258)
https://www.ibm.com/support/pages/node/6443101
CVEID: CVE-2020-5258
CVSS Base Score: 7.5
発行日:
2021年4月13日
要約:
Dojoのプロトタイプ汚染の欠陥により、リモートの攻撃者はシステム上で任意のコードを注入する事ができてしまう問題です。
他の値を注入することで、攻撃者はベースオブジェクトのJavaScriptアプリケーション・オブジェクト・プロトタイプオブジェクトを上書きや汚染する事ができます。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下、 v7.0.0.45以下、Liberty v17.0.0.3 - v21.0.0.3で adminCenter-1.0 featureが有効な環境

Security Bulletin: Vulnerability in Apache MyFaces affects WebSphere Application Server (CVE-2021-26296)
https://www.ibm.com/support/pages/node/6441433
CVEID: CVE-2021-26296
CVSS Base Score: 8.8
発行日:
2021年4月9日
要約:
WebSphere Application Serverで使用されているApache MyFacesライブラリーの脆弱性です。
Apache MyFacesには、ユーザーが入力した値の不適切なバリデーションによるCSRF(クロスサイト・リクエスト・フォージェリ)の脆弱性があります。
認証されたユーザーを悪意のあるWebサイトに誘導することで、リモートの攻撃者は不正な形式のHTTPリクエストを送ることで、認証さてていないアクションを実行することができます。
これにより、攻撃者はクロスサイト・スクリプティング攻撃を行い、Webキャッシュを汚染させたり、その他の悪意のある処理を行うことができてしまいます。
回避策:
Libertyでjsf-2.2やjsf-2.3を使用しているユーザー、及びWASv9でJSFを使用しているユーザーは、web.xmlでコンテキスト・パラメータorg.apache.​myfaces.RANDOM_KEY_IN_VIEW_STATE_SESSION_TOKEN=secureRandomとorg.apache.myfaces.RANDOM_KEY_IN_CSRF_SESSION_TOKEN=secureRandomを設定します。
Libertyでjsf-2.3を使用しているユーザーは、追加でweb.xmlでコンテキスト・パラメータ org.apache.myfaces.RANDOM_KEY_IN_WEBSOCKET_SESSION_TOKEN=secureRandomを設定します。
WASv8.0, 8.5.x及びLibertyでjsf-2.0を使用している場合には、回避策はありません。
該当レベル:
v9.0.5.7以下、v8.5.5.19以下、v8.0.0.15以下、 Liberty v17.0.0.3 - v21.0.0.3で jsf-2.0、 jsf-2.2 または jsf-2.3 featureが有効な環境

Security Bulletin: WebSphere Application Server is vulnerable to a Server-side Request Forgery vulnerability (CVE-2021-20480)
https://www.ibm.com/support/pages/node/6441063
CVEID: CVE-2021-20480
CVSS Base Score: 4.3
発行日:
2021年4月7日
要約:
WebSphere Application ServerのServer Side Request Forgery(SSRF)の脆弱性です。
特別に細工したリクエストを送ることで、リモートの攻撃者はセンシティブな情報を得ることができてしまうことがある問題です。
該当レベル:
v8.5.5.19以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a Directory Traversal vulnerability (CVE-2020-5016)
https://www.ibm.com/support/pages/node/6427873
CVEID: CVE-2020-5016
CVSS Base Score: 5.3
発行日:
2021年3月9日
要約:
WebSphere Application Serverのディレクトリトラバーサルの脆弱性です。
アプリケーションセキュリティが無効で、かつ、JAX-RPCアプリケーションが存在している場合、攻撃者は、/../ をパスに含む細工したリクエスト URL 送ることでそのシステムの任意のファイルが
閲覧できてしまう脆弱性です。アプリケーションセキュリティが有効な場合は生じません。

該当レベル:
v9.0.5.6以下、v8.5.5.19以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a directory traversal vulnerability (CVE-2021-20354)
https://www.ibm.com/support/pages/node/6415959
CVEID: CVE-2021-20354
CVSS Base Score: 5.9
発行日:
2021年2月17日
要約:
WebSphere Application Serverのディレクトリトラバーサルの脆弱性です。
リモートの攻撃者が、/../ をパスに含む細工したリクエスト URL 送ることで任意のファイルが閲覧できてしまう脆弱性です。
該当レベル:
v9.0.5.6以下、v8.5.5.19以下、v8.0.0.15以下

Security Bulletin: WebSphere Application Server is vulnerable to an XML External Entity (XXE) Injection vulnerability (CVE-2021-20353)
https://www.ibm.com/support/pages/node/6413709

CVEID: CVE-2021-20353
CVSS Base Score: 8.2
発行日:
2021年2月9日
要約:
WebSphere Application ServerがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.6以下、v8.5.5.19以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to an XML External Entity (XXE) Injection Vulnerability (CVE-2020-4949)
https://www.ibm.com/support/pages/node/6408244
CVEID: CVE-2020-4949
CVSS Base Score: 8.2
発行日:
2021年1月25日
要約:
WebSphere Application ServerがXMLデータを処理する際にXMLの外部実体参照を利用した攻撃(XXE攻撃)が報告されています。リモートの攻撃者はこの脆弱性を利用し、システム上のセンシティブな情報を漏洩させたりメモリリソースを消費したりできる可能性があります。
該当レベル:
v9.0.5.6以下、v8.5.5.18以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server Admin Console is vulnerable to a directory traversal vulnerability (CVE-2020-4782)
https://www.ibm.com/support/pages/node/6356083
CVEID: CVE-2020-4782
CVSS Base Score: 6.5
発行日:
2020年10月27日
要約:
WebSphere Application Server の管理コンソールの脆弱性です。リモートの攻撃者が、/../ をパスに含む細工したURLリクエストで管理コンソールにアクセスすることで、任意のファイルが閲覧できてしまう脆弱性です。この脆弱性はCVE-2018-1770の不完全な修正が原因です。
該当レベル:
v9.0.5.5以下、v8.5.5.18以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: Vulnerability in Hibernate Validator affects WebSphere Application Server Liberty (CVE-2020-10693)
https://www.ibm.com/support/pages/node/6348216
CVEID: CVE-2020-10693
CVSS Base Score: 5.3
発行日:
2020年09月14日
要約:
Libertyに含まれるHibernate Validator libraryの脆弱性です。
Hibernate Validatorのメッセージの補間処理の欠陥により、リモートの攻撃者は、特別に細工したリクエストを送ることで、エラーメッセージ内のユーザー制御データを処理する際に、入力サニテーション制御を回避する事ができてしまいます。
該当レベル:
Liberty v17.0.0.3 - v20.0.0.10で beanValidation-2.0 featureが有効な環境

Security Bulletin: WebSphere Application Server is vulnerable to an information disclosure vulnerability (CVE-2020-4576)
https://www.ibm.com/support/pages/node/6339807
CVEID: CVE-2020-4576
CVSS Base Score: 5.3
発行日:
2020年09月30日
要約:
リモートの攻撃者が、特別に作成された直列化オブジェクトを使用して機密情報を取得することができてしまう脆弱性です。

該当レベル:
v9.0.5.5以下、v8.5.5.18以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to an information disclosure vulnerability (CVE-2020-4629)
https://www.ibm.com/support/pages/node/6339255
CVEID: CVE-2020-4629
CVSS Base Score: 2.9
発行日:
2020年09月29日
要約:
ローカルのユーザーは特殊なアクセスにより詳細な技術的エラーメッセージからセンシティブな情報を得ることができ、その情報をそのシステムのさらなる攻撃に利用できてしまう可能性がある脆弱性です。
該当レベル:
v9.0.5.5以下、v8.5.5.18以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to an information exposure vulnerability (CVE-2020-4643)
https://www.ibm.com/support/pages/node/6334311
CVEID: CVE-2020-4643
CVSS Base Score: 7.5
発行日:
2020年09月17日
要約:
XMLデータを処理する際のXMLの外部実体参照を利用した脆弱性です。リモートの攻撃者はこの脆弱性によりセンシティブな情報を取得できる可能性があります。
 
該当レベル:
v9.0.5.5以下、v8.5.5.18以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: Denial of service vulnerability in WebSphere Application Server Liberty (CVE-2020-4590)
https://www.ibm.com/support/pages/node/6333623

CVEID: CVE-2020-4590
CVSS Base Score: 5.3
発行日:
2020年09月16日
要約:
oauth-2.0 または openidConnectServer-1.0 featureを使用して実行されているLibertyの、認証されたクライアントによるサービス妨害攻撃についての脆弱性です。
該当レベル:
Liberty v17.0.0.3 - v20.0.0.9でoauth-2.0 または openidConnectServer-1.0 featureが有効な環境

Security Bulletin: WebSphere Application Server Admin Console is vulnerable to cross-site scripting (CVE-2020-4578)
https://www.ibm.com/support/pages/node/6328895
CVEID:  CVE-2020-4578
CVSS Base score: 5.4
発行日:
2020年09月09日
要約:
IBM WebSphere Application Serverの管理コンソールのクロスサイトスクリプティングの脆弱性です。この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
v9.0.5.5以下、v8.5.5.17以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: Vulnerability in the IBM HTTP Server used by WebSphere Application Server is fixed in 9.0.0.3
CVEID:  CVE-2020-11985
CVSS Base score: 5.3
発行日:
2020年08月31日
要約:
Apache HTTP Serverにて、リモートからの攻撃によるスプーフィングによる脆弱性が報告されています。mod_remoteipおよびmod_rewriteのルールを使用している環境において、特別に細工されたリクエストを送信することにより、ログやPHPスクリプトにて参照されるIPアドレスを偽装することができてしまいます。
補足:
本脆弱性につきましては、Apache HTTP Server/IBM HTTP Serverのいずれにおきましても既に対応がなされており(Apache HTTP Serverでは2.4.24以降、IBM HTTP Serverでは9.0.0.3以降)、その内容に対し、後から脆弱性として報告があげられた、という経緯がございます。
既に対応が済んでいる、という点を鑑み、重要度としては比較的低めのスコアが設定されております。
該当レベル:
IBM HTTP Server v9.0.0.0、v9.0.0.1、v9.0.0.2

Security Bulletin: WebSphere Application Server ND is vulnerable to cross-site scripting (CVE-2020-4575)
https://www.ibm.com/support/pages/node/6323293

CVEID:  CVE-2020-4575
CVSS Base score: 4.7
発行日:
2020年08月26日
要約:
WebSphere Application Server Network Deployment(以下WASND)にてクロスサイトスクリプティングの脆弱性が報告されています。この脆弱性は、高可用性デプロイメント・マネージャーが構成されている環境が対象となっています。
該当レベル:
WASND:v9.0.5.4以下、v8.5.5.17以下
WebSphere Virtual Enterprise:v7.0、v8.0

Security Bulletin: Vulnerability in Apache Batik affects WebSphere Application Server (CVE-2019-17566)
https://www.ibm.com/support/pages/node/6322683
CVEID: CVE-2019-17566
CVSS Base score: 7.5
発行日:
2020年08月25日
要約:
WebSphere Application Server(Libertyは含まない)が使用するApache Batikライブラリには「xlink:href」属性による不適切な入力検証に起因するServer Side Request Forgery(SSRF)の脆弱性があります。攻撃者は特別に細工した引数を使用することで、基盤となるサーバーに任意のGETリクエストを実行させてしまう可能性があります。
該当レベル:
v9.0.5.4以下、v8.5.5.17以下、v8.0.0.15以下

Security Bulletin: WebSphere Application Server is vulnerable to a remote code execution vulnerability (CVE-2020-4589)
https://www.ibm.com/support/pages/node/6258333
CVEID: CVE-2020-4589
CVSS Base score: 8.1
発行日:
2020年08月12日
要約:
IBM WebSphere Application Server(Libertyは含まない)はリモートコード実行の脆弱性があります。
リモートの攻撃者が、信頼されていないソースからの細工された一連のシリアライズオブジェクトを用いることで、WASの稼働するシステムで任意のコードを実行できてしまう脆弱性です。
該当レベル:
v9.0.5.4以下、v8.5.5.17以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a remote code execution vulnerability (CVE-2020-4534)
https://www.ibm.com/support/pages/node/6255074
CVEID: CVE-2020-4534
CVSS Base score: 7.8
発行日:
2020年07月30日
要約:
IBM WebSphere Application Server(Libertyは含まない)はリモートコード実行の脆弱性があります。
不適切なUNCパスの処理のために、ローカルの認証された攻撃者が権限昇格できてしまう問題です。細工されたUNCパスを用いたタスクをスケジュールすることで、より高い権限で任意のコードをそのシステムで実行できてしまう可能性があります。
 
該当レベル:
v9.0.5.4以下、v8.5.5.17以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a remote code execution vulnerability (CVE-2020-4464)
https://www.ibm.com/support/pages/node/6250059
CVEID: CVE-2020-4464
CVSS Base score: 8.8
発行日:
2020年07月16日
要約:
IBM WebSphere Application Server(Libertyは含まない)はリモートコード実行の脆弱性があります。リモートの攻撃者がSOAPコネクタ経由で特別に細工した一連のシリアライズ化されたオブジェクトをWASに送ることで、任意のコードをそのシステムで実行できてしまう可能性があります。
該当レベル:
v9.0.5.4以下、v8.5.5.17以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a remote code execution vulnerability (CVE-2020-4450)
https://www.ibm.com/support/pages/node/6220294
CVEID: CVE-2020-4450
CVSS Base score: 9.8
発行日:
2020年06月04日
要約:
リモートの攻撃者は、特別に細工した一連のシリアライズ化されたオブジェクトをWASに送ることで、任意のコードをそのシステムで実行できてしまう脆弱性です。
該当レベル:
v9.0.5.4以下、v8.5.5.17以下

Security Bulletin: WebSphere Application Server is vulnerable to an information exposure vulnerability (CVE-2020-4449)
https://www.ibm.com/support/pages/node/6220296
CVEID: CVE-2020-4449
CVSS Base score: 7.5
発行日:
2020年06月04日
要約:
リモートの攻撃者が、特別に細工した一連のシリアライズ化されたオブジェクトをWASに送ることで、センシティブな情報を取得できてしまう脆弱性です。
該当レベル:
v9.0.5.4以下、v8.5.5.17以下、v8.0.0.15以下、v7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to an information exposure vulnerability (CVE-2020-4448)
CVEID: CVE-2020-4448
CVSS Base score: 9.8
発行日:
2020年06月04日
要約:
WebSphere Application Server Network Deploymentエディション(以下WAS ND)にて、リモートの攻撃者が特別に細工した一連のシリアライズ化されたオブジェクトを悪用することによりシステム上の任意のコードを実行できてしまう、という脆弱性が報告されています。
該当レベル:
WAS ND v9.0.0.0以降
WAS ND v8.5.0.0以降
WebSphere Virtual Enterprise v8.0以降
WebSphere Virtual Enterprise v7.0以降

Security Bulletin: WebSphere Application Server is vulnerable to a server-side request forgery vulnerability (CVE-2020-4365) 
https://www.ibm.com/support/pages/node/6209099
CVEID: CVE-2020-4365
CVSS Base score: 5.3
発行日:
2020年05月13日
要約:
IBM WebSphere Application Serverの管理コンソールにはServer Side Request Forgery(SSRF)の脆弱性があります。特別に細工したリクエストを送信することで、リモートで認証された攻撃者が機密データを入手できてしまう可能性があります。
該当レベル:
v8.5.5.17以下

Security Bulletin: Potential spoofing attack in Webshere Application Server (CVE-2020-4421)
https://www.ibm.com/support/pages/node/6205926
CVEID: CVE-2020-4421
CVSS Base score: 5
発行日:
2020年5月5日
要約:
openidConnectServerフィーチャーを使用したLibertyで、認証されたユーザーによるスプーフィング IDを許可する脆弱性です。
該当レベル:
openidConnectServer-1.0 を使用した 19.0.0.5-20.0.0.4のLiberty

Security Bulletin: Information disclosure in WebSphere Application Server (CVE-2020-4329)
https://www.ibm.com/support/pages/node/6201862
CVEID: CVE-2020-4329
CVSS Base score: 4.3
発行日:
2020年4月27日
要約:
不適切なパラメータチェックにより、リモートの認証された攻撃者はセンシティブな情報を取得することができます。これはなりすまし攻撃に繋がる可能性があります。
該当レベル:
v9.0.5.3以下、v8.5.5.17以下、8.0.0.15以下、7.0.0.45以下、20.0.0.4以下のLiberty

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6191631

CVEID: CVE-2020-1927
CVSS Base score: 7.4

発行日:
2020年4月15日 

要約: 
Apache HTTP Serverのmod_rewriteモジュールにて、オープンリダイレクトによる脆弱性が報告されています。
特別に細工されたURLを使用することにより、任意のWebサイトへ誘導させることができてしまいます。

該当レベル:
v9.0.5.3以下, v8.5.5.17以下, v8.0.0.15以下, v7.0.0.45以下

Security Bulletin: Multiple vulnerabilities in IBM HTTP Server used by WebSphere Application Server
https://www.ibm.com/support/pages/node/6191631
CVEID: CVE-2020-1934
CVSS Base score: 8.1
発行日:
2020年4月15日 
要約: 
Apache HTTP Serverのmod_proxy_ftpモジュールにて、未だ初期化されていない値を悪用することで任意のコードを実行されることができてしまう脆弱性が報告されています。
特別に細工されたリクエストを送ることにより、任意のコード実行およびサービス不能状態を引き起こされる可能性があります。
該当レベル:
v9.0.5.3以下, v8.5.5.17以下, v8.0.0.15以下, v7.0.0.45以下

Security Bulletin: Privilege Escalation Vulnerability in WebSphere Application Server (CVE-2020-4362)
https://www.ibm.com/support/pages/node/6174417
CVEID: CVE-2020-4362
CVSS Base score: 7.5
発行日:
2020年04月9日
要約:
WebSphere Application Serverで、SOAPコネクター経由の管理リクエストでトークンベースの認証をする際に、権限昇格の脆弱性があります。
該当レベル:
v9.0.5.3以下, v8.5.5.17以下, v8.0.0.15以下, v7.0.0.45以下

Security Bulletin: WebSphere Application Server Liberty is vulnerable to Cross-site Scripting (CVE-2020-4303, CVE-2020-4304)
https://www.ibm.com/support/pages/node/6147195
発行日:
2020年03月31日
CVEID:   CVE-2020-4303 および CVE-2020-4304
CVSS Base score: 6.1
要約:
IBM WebSphere Application Server - Libertyのクロスサイトスクリプティングの脆弱性です。この脆弱性により、特権を持つユーザーはWeb UIに任意のJavaScriptコードを埋め込むことができるため、意図した機能が変更され、信頼されたセッション内で資格情報が漏洩する可能性があります。
該当レベル:
Liberty v17.0.0.3 - v20.0.0.3で oauth-2.0, openidConnectServer-1.0, openidConnectClient-1.0, または samlWeb-2.0 featureが有効な環境
回避策:
なし

Security Bulletin: Multiple Vulnerabilities in IBM® Java SDK affect WebSphere Application Server January 2020 CPU
https://www.ibm.com/support/pages/node/1289194
発行日:
2020年03月25日
要約:
WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が確認され、2020年1月リリースのIBM Java SDKでそれらに対する修正が公開されました。
また、それらの脆弱性は、WebSphere Application Server traditional , Liberty , Hypervisor Edition , Application Clientに影響する可能性があるため対応をご検討ください。
以下の情報を公開しています。ご参照ください。
【セキュリティ情報】IBM Java SDK CPU 2020 January で報告された脆弱性の WebSphere Application Server への影響
https://www.ibm.com/support/pages/node/5691812
該当レベル:
この脆弱性は、WebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDKにおいて影響があります。
※ IBM Java SDK 6/6.1については、2018年4月30日にEOSを迎えております。そのため、2019年より脆弱性を含むすべての修正はリリースされません。
また、WASv7/8の延長サポートをお持ちのお客様はサポート窓口にお問い合わせください。
回避策:
なし

Security Bulletin: Privilege Escalation Vulnerability in WebSphere Application Server (CVE-2020-4276)
https://www.ibm.com/support/pages/node/6118222
CVEID: CVE-2020-4276
CVSS Base score: 7.5
発行日:
2020年03月25日
要約:
WebSphere Application Serverで、SOAPコネクター経由の管理リクエストでトークンベースの認証をする際に、権限昇格の脆弱性があります。

該当レベル:
v9.0.5.3以下, v8.5.5.17以下, v8.0.0.15以下, v7.0.0.45以下

Security Bulletin: Vulnerability in Apache CXF affects WebSphere Application Server (CVE-2019-17573)
https://www.ibm.com/support/pages/node/6100132
CVEID: CVE-2019-17573
CVSS Base score: 6.1
発行日:
2020年03月19日
要約:
WebSphere Libertyが使用しているApache CXFライブラリーのクロスサイトスクリプティングの脆弱性です。サービスをリストするページのユーザーの入力値のバリデーションが不適切であったためになります。
リモートの攻撃者は、細工したURLを、そのWebサイトをホストしているサーバーのセキュリティ・コンテキストを持った被害者のWebブラウザー内で、クリックさせることで、被害者のCookieベースの認証情報を盗むことができます。
該当レベル:
Liberty v17.0.0.3から20.0.0.2でjaxwx-2.2のfeatureが有効な環境

Security Bulletin: Information Disclosure in WebSphere Application Server Admin Console (CVE-2019-4670)
https://www.ibm.com/support/pages/node/1289152

CVEID: CVE-2019-4670
CVSS Base score: 6.5

発行日:
2020年02月04日
要約:
IBM WebSphere Application Server(Libertyは含まない)の管理コンソールの情報漏洩の脆弱性です。 リモートの攻撃者が不適切なデータ表現による機密情報を取得する可能性があります。
該当レベル:
v9.0.5.2以下, v8.5.5.16以下, v8.0.0.15以下, v7.0.0.45以下

Security Bulletin: Vulnerability in Apache CXF affects WebSphere Application Server (CVE-2019-12406)
https://www.ibm.com/support/pages/node/1288774
CVEID: CVE-2019-12406
CVSS Base Score: 5.3
発行日:
2020年02月03日
要約:
製品で使用されているApache CXFライブラリーのDOSの脆弱性です。Apache CXF 3.3.4未満、3.2.11未満は、1メッセージあたりのメッセージアタッチメントの数を制限しておらず、悪意のあるユーザーが大量のメッセージアタッチメントを含んだメッセージを細工した送りつけることでDOS状態を引き起こすことができる問題です。3.3.4以降、3.2.11以降では、デフォルトでメッセージアタッチメントの数が50に制限され、attachment-max-countで調整できるようになっています。
該当レベル:
v9.0.5.2以下、17.0.0.3から20.0.0.1のjaxrs-2.0、jaxrs-2.1またはjaxws-2.2を使用しているLiberty

Security Bulletin: WebSphere Application Server is vulnerable to a command execution vulnerability (CVE-2020-4163)
https://www.ibm.com/support/pages/node/1288786
CVEID: CVE-2020-4163
CVSS Base Score: 6.6
発行日:
2020年02月03日
要約:
特殊な条件下で、WASは認証されたユーザーが悪意のある細工したファイルを作成することを許容してしまい、結果、そのファイルがjspコンテンツとして誤って解釈、実行されてしまう脆弱性です。
該当レベル:
v9.0.5.2以下、v8.5.5.16以下、8.0.0.15以下、7.0.0.45以下

Security Bulletin: WebSphere Application Server is vulnerable to a denial of service (CVE-2019-4720)
https://www.ibm.com/support/pages/node/1285372
CVEID: CVE-2019-4720
CVSS Base Score: 7.5
発行日:
2020年01月30日
要約:
WebSphere(Liberty含む)のDOSの脆弱性です。リモートの攻撃者は細工したリクエストを送ることで、サーバー側のメモリ枯渇を引き起こすことができる問題です。
該当レベル:
v9.0.5.2以下、v8.5.5.17以下、8.0.0.15以下、7.0.0.45以下、20.0.0.1以下のLiberty
更新履歴:
2020/02/13 特定のfeatureに依存しない問題であることが分かり、原文に則して、該当レベルからfeatureの情報を除去

Security Bulletin: Swagger vulnerability affects WebSphere Application Server Liberty (CVE-2019-17495)
https://www.ibm.com/support/pages/node/1274596
CVEID: CVE-2019-17495
CVSS Base Score: 5.3
発行日:
2020年01月20日
要約:
mpOpen-1.x や openAPI-3.xのfeatureを利用しているLibertyに対して、リモートの攻撃者は、相対パスによる上書き (RPO) の攻撃手法を用いて、Swagger UIにCSSインジェクションでき、これにより、センシティブな情報を取得することができてしまいます。
該当レベル:
mpOpen-1.x や openAPI-3.xのfeatureを利用しているLiberty(17.0.0.3 - 19.0.0.12)

[{"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Component":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"}}]

Document Information

Modified date:
11 November 2024

UID

ibm11285612