IBM Support

(参考) IBM Forms Viewer の導入パッケージの問題による、 リモート攻撃者のシステム上での任意のコード実行 (CVE-2016-2542)

Created by Kenichi Mizuno on
Published URL:
https://www.ibm.com/support/pages/node/279643
279643

Security Bulletin


Summary

IBM Forms Viewer の導入パッケージにおいて、 リモート攻撃者がシステム上で任意のコードを実行する可能性があるという問題が報告されました。

IBM Forms Viewer の導入パッケージをダウンロードしている場合には、以下の情報をご参照いただき、製品を導入する前に脆弱性に対する対策を行ってください。

すでに IBM Forms Viewer を導入している場合には、以前にダウンロードした導入パッケージをマシンから削除することを推奨します。 製品をアンインストールしてから再導入する必要はありません。

Vulnerability Details


CVEID: CVE-2016-2542
説明: Flexera InstallShield において、リモート攻撃者がシステム上で任意のコードを実行することを許可してしまう可能性があるという問題が報告されました。アプリケーションは Microsoft Windows 上で実行される際、ダイナミックリンクライブラリ (Schannel.dll) への完全修飾パスを直接指定していません。脆弱なアプリケーションを使用して、WebDAV もしくは SMB Share から細工されたファイルを開くように被害者を仕向けることで、特別に細工されたライブラリーを介してシステム上で任意のコードを実行する可能性があります。

CVSS Base Score: 8.8
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

Affected Products and Versions

IBM Forms Viewer 8.0.*
IBM Forms Viewer 8.1
IBM Forms Viewer 8.2.*

Remediation/Fixes

製品名

VRMFAPAR対策
IBM Forms Viewer8.2.*LO88828LO88828 をダウンロードし導入してください
IBM Forms Viewer8.1LO88828LO88828 をダウンロードし導入してください
IBM Forms Viewer8.0.*LO88828LO88828 をダウンロードし導入してください

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」(CVSS V3) をご参照ください。

原文:
(英文)「Security Bulletin: IBM Forms Viewer Installation could allow a remote attacker to execute arbitrary code on the system (CVE-2016-2542)」(Technote #1982440)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

Internal Use Only

原文:


NumberPublishedTitle#OwnerExpires
DCF Technotes (IS)
19824402016/05/07 03:42:00Security Bulletin: IBM Forms Viewer Installation could allow a remote attacker to execute arbitrary code on the system (CVE-2016-2542)
Jonathan McEwanNever Expire

[{"Product":{"code":"SS38QR","label":"Lotus Forms Viewer"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Installation","Platform":[{"code":"PF033","label":"Windows"}],"Version":"8.2;8.1;8.0","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
16 June 2018

UID

swg21983566

Page Feedback