公開日:2014/10/09 最終更新日:2014/10/09

JVNVU#90832155
IBM WebSphere Application Server に複数の脆弱性

概要

IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition には、クロスサイトスクリプティングとクロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

  • WebSphere Application Server Version 8.5
  • WebSphere Application Server Version 8
  • WebSphere Application Server Version 7
  • WebSphere Application Server Version 6.1
  • WebSphere Application Server Version 6.0.2
  • WebSphere Application Server Hypervisor Edition Version 8.5
  • WebSphere Application Server Hypervisor Edition Version 8
  • WebSphere Application Server Hypervisor Edition Version 7
  • WebSphere Application Server Hypervisor Edition Version 6.1
  • WebSphere Application Server Hypervisor Edition Version 6.0.2

詳細情報

クロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2014-4770
IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition の管理コンソールには、クロスサイトスクリプティングの脆弱性が存在します。

クロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2014-4816
IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition の管理コンソールには、クロスサイトリクエストフォージェリの脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。また、当該製品にログインした状態で細工したページにアクセスした場合、意図しない操作をさせられる可能性があります。

対策方法

アップデートする
開発者は、IBM Security Bulletin にて、以下の本脆弱性への対策を提供しています。

IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition
Version 8.5.0.0 から 8.5.5.3 の場合:

  • Fix Pack 8.5.5.0 およびそれ以降をインストールする
  • Interim Fix PI23055 をインストールする
       または
  • Fix Pack 8.5.5.4 およびそれ以降をインストールする (2014年12月8日にリリース予定)

IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition
Version 8.0.0.0 から 8.0.0.9 の場合:
  • Fix Pack 8.0.0.6 およびそれ以降をインストールする
  • Interim Fix PI23055 をインストールする
       または
  • Fix Pack 8.0.0.10 およびそれ以降をインストールする (2015年2月16日にリリース予定)

IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition
Version 7.0.0.0 から 7.0.0.31 の場合:
  • Fix Pack 7.0.0.27 およびそれ以降をインストールする
  • Interim Fix PI23055 をインストールする
      または
  • Fix Pack 7.0.0.35 およびそれ以降をインストールする (2014年10月13日にリリース予定)

IBM WebSphere Application Server および IBM WebSphere Application Server Hypervisor Edition
Version 6.1.0.0 から 6.1.0.47 の場合:
  • Fix Pack 6.1.0.47 をインストールする
  • Interim Fix PI23055 をインストールする

ベンダ情報

ベンダ リンク
IBM Security Bulletin: Potential Security exposures with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)

参考情報

  1. CERT/CC Vulnerability Note VU#573356
    IBM WebSphere Application Server contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.10.09における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 単一の認証が必要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:4.9

分析結果のコメント

この CVSS の評価は CVE-2014-4770 に基づいて行ったものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-4770
CVE-2014-4816
JVN iPedia