IBM Support

【セキュリティ情報】WebSphere Application Server Liberty に情報漏洩の脆弱性(CVE-2013-6440)

Created by Kazuhito Mizutani on
Published URL:
https://www.ibm.com/support/pages/node/299825
299825

Security Bulletin


Summary

WebSphere Application Server LibertyにおいてOpenSAMLフィーチャーを使用している場合、XML external entity (XXE) 攻撃に対する脆弱性のため、情報漏洩の問題が発生します。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Information disclosure in WebSphere Application Server Liberty (CVE-2013-6440)
http://www-01.ibm.com/support/docview.wss?uid=swg22010415

CVEID: CVE-2013-6440
DESCRIPTION:
OpenSAMLにおいて、リモートの認証を受けた攻撃者が、XMLエンティティをパースする際のエラーにより重要な情報を取得できる可能性があります。
この脆弱性を用いて外部エンティティへの参照を含む、特別に細工されたXML文書を開かせることにより、攻撃者は重要情報を取得することが可能となります。
CVSS 基本値 : 4.3
CVSS 現状値 : https://exchange.xforce.ibmcloud.com/vulnerabilities/89714
CVSS環境値 : 未定義
CVSS区分 : (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Affected Products and Versions

この脆弱性は、以下のフィーチャーを使用している IBM WebSphere Application Server Libertyに影響します。

Liberty using samlWeb-2.0 feature
Liberty using wsSecuritySaml-1.1 feature

Remediation/Fixes

個別修正モジュール PI89103 か、これを含むFix Packをできるだけ早く適用します。

OpenSAMLフィーチャーを使用する WebSphere Application Server Liberty 向け:
・前提レベルまでFixPackレベルを上げた後、個別修正モジュール PI89103 を適用します。

もしくは

・LibertyのFix Pack 17.0.0.4 以降へアップデートします。
※Fix Pack 17.0.0.4 は2017年12月21日リリース予定です。(2017/12/12 時点)

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Change History

12 Dec 2017: original document published

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Liberty","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"Not Applicable","Edition":"Liberty","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22010660

Page Feedback