IBM Support

【セキュリティ情報】IBM HTTP Serverにおける脆弱性(OptionsBleed)の影響について (CVE-2017-9798, CVE-2017-12618)

Created by Chizuko Mochizuki on
Published URL:
https://www.ibm.com/support/pages/node/300339
300339

Security Bulletin


Summary

WebSphere Application Serverで使用されるIBM HTTP Serverに影響を与える情報漏洩に関する脆弱性(OptionsBleed)およびサービス拒否に関する脆弱性があります。

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Security Vulnerabilities in IBM HTTP Server (CVE-2017-9798, CVE-2017-12618)
http://www.ibm.com/support/docview.wss?uid=swg22009782

Vulnerability Details

CVEID: CVE-2017-9798


DESCRIPTION: Apache HTTP Serverを使用した場合、HTTP OPTIONSメソッドの問題によりリモートからの攻撃者が 機密情報を取得する可能性があります。 CVE-2017-9798 は「OptionsBleed」と名付けられました。リモートからの攻撃者がこの脆弱性を悪用し、OPTIONS HTTPリクエストを送信することで機密情報を取得する可能性があります。
CVSS Base Score: 7.5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/132159 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

CVEID: CVE-2017-12618
DESCRIPTION: Apache Portable Runtime Utility(APR-util)は、apr_sdbm *()関数で使用するSDBMデータベースファイルの整合性の検証が不十分なため、サービス拒否(Dos攻撃)に対する脆弱性があります。認証されたローカルユーザーが、攻撃者となってこの脆弱性を悪用し、特殊に細工したプログラムやプロセスを作成することでアプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 5.5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/134048 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Affected Products and Versions

全てのエディションのWebSphere Application Serverやバンドル製品の次のバージョンのIBM HTTP Server(Apacheベース)がこれらの脆弱性の影響を受ける可能性がございます。

  • Version 9.0
  • Version 8.5
  • Version 8.0
  • Version 7.0

Remediation/Fixes

以下の2つの脆弱性の修正プログラムが、個別修正モジュールPI87445に含まれています。
PI87445 の個別修正モジュールを適用、または、PI87445を含むFix Packを適用します。

PI87445 - IBM HTTP Server用CVE-2017-9798
PI87663 - IBM HTTP Server用のCVE-2017-12618

VRMF Remediation / Fix
V9.0.0.0 - V9.0.0.5
  • Fix Pack 9.0.0.3以降にアップデートし、個別修正モジュールPI87445 を適用します。
--または--
  • Fix Pack 9.0.0.6以降へアップデートします。
※ Fix Pack 9.0.0.6は、2017年12月20日にリリース予定です。 (2017/12/15時点)
V8.5.0.0 - V8.5.5.12
  • Packレベル8.5.5.11以降にアップデートし、個別修正モジュールPI87445 を適用します。
--または--
  • Fix Pack 8.5.5.13以降へアップデートします。
※ Fix Pack 8.5.5.13は、2018年2月5日にリリース予定です。 (2017/12/15時点)
V8.0.0.0 - V8.0.0.14
  • Fix Packレベル8.0.0.13以降にアップデートし、個別修正モジュールPI87445 を適用します。
--または--
  • Fix Pack 8.0.0.15以降へアップデートします。
※ Fix Pack 8.0.0.15は、2018年4月30日にリリース予定です。 (2017/12/15時点)
V7.0.0.0 - V7.0.0.43
  • Fix Packレベル7.0.0.43 までアップデートし、個別修正モジュールPI87445 を適用します。
--または--
  • Fix Pack 7.0.0.45以降へアップデートします。
※ Fix Pack 8.0.0.15は、2018年3月にリリース予定です。 (2017/12/15時点)


Workarounds and Mitigations

回避策はありません。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Recommended updates for WebSphere Application Server
WebSphere Application Server and IBM HTTP Server Security Bulletin List
Security Vulnerabilities | Java SDK

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0;7.0","Edition":"All Editions","Line of Business":{"code":"LOB45","label":"Automation"}}]

Historical Number

2017/12/15 Original document is published.

Document Information

Modified date:
07 September 2022

UID

swg22010988

Page Feedback