Security Bulletin
Summary
IBM HTTP Server に潜在的なレスポンス分割攻撃の脆弱性が存在します。
最新の情報については下記の文書(英語)もご参照ください。
Security Bulletin: Potential vulnerability in IBM HTTP Server (CVE-2016-8743)
https://www.ibm.com/support/pages/node/289001
Vulnerability Details
DESCRIPTION: Apache HTTPD は HTTP レスポンス分割攻撃に対して脆弱性があります。これは不適切なユーザーインプットバリデーションによって引き起こされます。リモートの攻撃者はこの脆弱性を悪用して、任意の HTTP ヘッダーを挿入しURL をクリックするとサーバーに分割レスポンスを返させる可能性があります。これにより、攻撃者は Web キャッシュのポイズニングやクロスサイトスクリプティングなど、さらなる攻撃を実行し機密情報を取得する可能性があります。
CVSS Base Score: 6.1
CVSS Temporal Score: 現在のスコアはこちらを参照してください。
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Affected Products and Versions
- Version 9.0
- Version 8.5
- Version 8.0
- Version 7.0
なお、IBM Caching Proxy をご利用の場合は、下記のリンクもご覧ください。
IBM PI75118: CACHING PROXY ACCEPTS HTTP REQUEST LINES THAT DO NOT CONFORM WITH RFC 7230.
https://www.ibm.com/support/pages/apar/PI75118
Remediation/Fixes
※PI73984 個別修正モジュールは、IHS のバージョン 8.0.0.11、 8.0.0.12 および 8.5.5.10 で修正ファイルのパッケージに問題があったため、2017年4月12日 に再公開されています。
PI73984の個別修正モジュールを 2017年4月12日 以前にダウンロードし、インストールしている場合は、PI73984をアンインストールした後、再度個別修正モジュールをダウンロードし、適用し直す必要があります。
IBM HTTP Server:
バージョン | 対応策 |
V9.0.0.0~V9.0.0.2 |
|
V8.5.0.0~V8.5.5.11 |
|
V8.0.0.0~V8.0.0.13 |
|
V7.0.0.0~V7.0.0.41 |
|
Workarounds and Mitigations
Get Notified about Future Security Bulletins
References
Change History
2017/02/15 初版公開
2017/04/17 Remediation/Fixesに4/12以前のPI73984モジュールに対する注釈を追記
2021/01/19 文書中のリンク先を修正
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
19 January 2021
UID
swg21998205