Security Bulletin
Summary
IBM WebSphere Application Server Community Edition は、WebSphere Dashboard Framework にオプションのコンポーネントとして同梱されています。 このコンポーネントに影響するセキュリティの脆弱性に関する情報が公開されました。
Vulnerability Details
CVEID: CVE-2015-5345
説明: Apache Tomcat は、保護されたディレクトリにアクセスする際のエラーにより、リモートの攻撃者に機密情報を入手される可能性があります。攻撃者がこの脆弱性を悪用して URL にリダイレクトすることにより、ディレクトリの存在を確認する可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
CVEID: CVE-2016-0706
説明: Apache Tomcat には、セキュリティー・マネージャーの構成中に StatusManagerServlet をロードする動作により、リモート攻撃者にセキュリティの制限を回避される可能性があります。攻撃者がデプロイされたアプリケーションやその他の機密情報を入手するために、この脆弱性を悪用する可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
CVEID: CVE-2016-0714
説明: Apache Tomcat には、複数のセッション・パーシスタンス・メカニズムのエラーにより、リモートの攻撃者がセキュリティの制限を回避する可能性があります。攻撃者がこの脆弱性を悪用することにより、セッションに悪意あるオブジェクトを配置してセキュリティーマネージャーの制約を回避し、システム上で任意のコードを実行する可能性があります。
CVSS Base Score: 7.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
Affected Products and Versions
WebSphere Dashboard Framework 7.0.1
Remediation/Fixes
WebSphere Dashboard Framework に同梱されているバージョンの IBM WebSphere Application Server Community Edition には、修正が提供されていません。
IBM は以下に記す回避方法を実施することを強く推奨します。
Workarounds and Mitigations
IBM WebSphere Application Server Community Edition(WASCE)は、WebSphere Dashboard Framework のオプションのコンポーネントです。インストールすると、WASCE は開発およびテスト・サーバーとして使用されます。WASCE の脆弱性を回避するため、WASCE の代わりに WebSphere Application Server または WebSphere Portal を使用することを推奨します。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」(CVSS V3) をご参照ください。
原文:
(英文)「Security Bulletin: Security vulnerabilities have been identified in the versions of IBM WebSphere Application Server Community Edition bundled with WebSphere Dashboard Framework 7.0.1 (CVE-2015-5345) (CVE-2016-0706) (CVE-2016-0714)」(Technote #1983722)
この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Internal Use Only
原文:
| Number | Published | Title | # | Owner | Expires | |
 | 1983722 | 2016/05/23 23:37:00 | Security Bulletin: Security vulnerabilities have been identified in the versions of IBM WebSphere Application Server Community Edition bundled with WebSphere Dashboard Framework 7.0.1 (CVE-2015-5345) (CVE-2016-0706) (CVE-2016-0714) | Kevin Tapperson | Never Expire |
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21986670