IBM Support

WebSphere Application Server における潜在的な脆弱性について (CVE-2016-9736)

Created by Kazuma Tanabe on
Published URL:
https://www.ibm.com/support/pages/node/288143
288143

Security Bulletin


Summary

WebSphere Application Server において細工されたSOAPリクエスト処理に関し、情報が漏洩する可能性のある脆弱性が報告されました。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Potential Information Disclosure in WebSphere Application Server (CVE-2016-9736)
http://www.ibm.com/support/docview.wss?uid=swg21991469

CVEID: CVE-2016-9736
DESCRIPTION:
IBM WebSphere Application Server に情報漏洩につながる脆弱性が発生する可能性があります。攻撃者からの細工されたSOAPリクエストにより、情報が漏洩する可能性があります。

CVSS Base Score: 3.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/119780 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)

Affected Products and Versions

この脆弱性は、以下のバージョンのWebSphere Application Server traditional および、WebSphere Application Server Hypervisor Edition において影響があります。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0

Remediation/Fixes

お使いの環境に該当する個別修正 PI66557 の適用、もしくは、それらを含むFix Packを適用してください。

V9.0 WebSphere Application Server traditional:

バージョン対応策
V9.0.0.0~V9.0.0.1
  • 個別修正モジュールAPAR PI66557 を適用します。

-- または --
  • Fix Pack 9.0.0.2以降を適用します。

V8.5/V8.0 WebSphere Application Server traditional および Hypervisor Edition:

バージョン対応策
V8.5.0.0~V8.5.5.10
  • 個別修正モジュールAPAR PI66557 を適用します。
-- または --
  • Fix Pack 8.5.5.11を適用します。
    * Fix Pack 8.5.5.11は、 2016/12/23にリリース予定です。(2016/12/19時点)
V8.0.0.0~V8.0.0.12
  • 個別修正モジュールAPAR PI66557 を適用します。

-- または --
  • Fix Pack 8.0.0.13以降を適用します。
    * Fix Pack 8.0.0.13は、 2017/2/20にリリース予定です。(2016/12/19時点)

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

References

Off

Change History

2016/12/19 初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0","Edition":"Base;Developer;Express;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21996217