IBM Support

(参考) IBM Forms Server における Webform Server の脆弱性 (CVE-2016-0223)

Created by Kenichi Mizuno on
Published URL:
https://www.ibm.com/support/pages/node/546765
546765

Security Bulletin


Summary

IBM Forms Server の Webform Framework API には、特別に細工された URL を Web ブラウザで利用することによる脆弱性の問題があります。

Vulnerability Details


CVEID: CVE-2016-0223

説明: IBM Forms Server には、ユーザー入力の検証が不適切なことに起因するクロスサイトスクリプティングの脆弱性が存在します。リモート攻撃者はこの脆弱性を利用することにより、被害者が URL をクリックすると、ホストしている Web サイトのセキュリティコンテキスト内で被害者の Web ブラウザがスクリプトを実行してしまうようにさせることができます。攻撃者は被害者の Cookie ベースの認証資格情報を盗むために、この脆弱性を使用する可能性があります。

CVSS Base Score: 4.7
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N)

Affected Products and Versions

IBM Forms Server 4.0.*
IBM Forms Server 8.0.*
IBM Forms Server 8.1
IBM Forms Server 8.2

Remediation/Fixes

製品名

 VRMF APAR 対策
IBM Forms Server 8.0.0.*LO88090LO88090 をダウンロードし、同梱されている Readme の手順に従いファイルを適用してください。
IBM Forms Server 8.0.1.*LO88090
IBM Forms Server 8.1.*LO88090LO88090 をダウンロードし、同梱されている Readme の手順に従いファイルを適用してください。
IBM Forms Server 8.2.*LO88090LO88090 をダウンロードし、同梱されている Readme の手順に従いファイルを適用してください。

:上記修正を適用する前に、WebSphere Application Server の APAR PI50993 の修正を適用する必要があります。この WebSphere Application Server の修正が適用されていない場合、IBM From Server への適用が失敗することがあります。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

原文:
(英文)「Security Bulletin: IBM Forms Server vulnerability identified in Webform Server (CVE-2016-0223)」(Technote #1977574)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

Internal Use Only

(原文)




NumberTypeTitle#ModifiedSize (bytes)Status
DCF Technotes (IS)


1977574Security BulletinsSecurity Bulletin: IBM Forms Server vulnerability identified in Webform Server (CVE-2016-0223)
2016/03/26
9,410
Publish Complete

[{"Product":{"code":"SS4BP3","label":"Lotus Forms Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"8.2;8.1;8.0.1;8.0","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
16 June 2018

UID

swg21980270

Page Feedback