IBM Support

【セキュリティ情報】 WebSphere Application Server 管理コンソールでの潜在的な特権昇格の脆弱性 (CVE-2017-1731)

Created by Tomoaki Mori on
Published URL:
https://www.ibm.com/support/pages/node/304881
304881

Security Bulletin


Summary

WebSphere Application Server 管理コンソールに、潜在的な特権昇格の脆弱性が見つかりました。

最新の情報については下記の文書(英語)もご参照ください。
Security Bulletin: Potential Privilege Escalation in WebSphere Application Server Admin Console (CVE-2017-1731)
https://www.ibm.com/support/pages/node/302557

Vulnerability Details

CVEID: CVE-2017-1731


説明: IBM WebSphere Application Server は、管理コンソールを使用している場合、想定よりも弱いセキュリティー状況が存在してしまいます。認証されたリモートの攻撃者は、この脆弱性を悪用し特権の昇格を実施できる可能性があります。
CVSS 基本スコア: 8.8
CVSS 一時スコア: 現在の一時スコアについては https://exchange.xforce.ibmcloud.com/vulnerabilities/134912 をご参照ください。
CVSS 環境スコア*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

Affected Products and Versions

この脆弱性は、WebSphere Application Server の下記のバージョンおよびリリースに影響します。
  • Version 9.0
  • Version 8.5
  • Version 8.0
  • Version 7.0

Remediation/Fixes

APAR PI89498 を含む個別修正モジュール、Fix Pack、または PTF をできる限り早く適用いただくことをお薦めします。

WebSphere Application Server traditional と WebSphere Application Server Hypervisor Edition:
バージョン 対応策
V9.0.0.0 ~ 9.0.0.6
  • 個別修正モジュール PI89498 を適用します。
-- または --
  • Fix Pack 9.0.0.7 以降へアップデートします。
V8.5.0.0 ~ 8.5.5.13
  • Fix Pack 8.5.5.7 以降にアップデートし、個別修正モジュール PI89498 を適用します。
-- または --
  • Fix Pack 8.5.5.14 以降へアップデートします。
V8.0.0.0 ~ 8.0.0.14
  • Fix Pack 8.0.0.4 以降にアップデートし、個別修正モジュール PI89498 を適用します。
-- または --
  • Fix Pack 8.0.0.15 以降へアップデートします。
V7.0.0.0 ~ 7.0.0.43
  • Fix Pack 7.0.0.35 以降にアップデートし、個別修正モジュール PI89498 を適用します。
-- または --
  • Fix Pack 7.0.0.45 以降へアップデートします。

Get Notified about Future Security Bulletins

References

Off

Change History

2018/02/20 初版発行
2021/02/02 リンクURL修正

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Administrative Console (all non-scripting)","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF014","label":"iOS"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5;8.0;7.0","Edition":"Advanced;Base;Developer;Enterprise;Express;Network Deployment;Single Server","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
01 February 2021

UID

swg22013802