IBM Support

IBM WebSphere Application Serverにおけるカスタム・プロパティー HttpSessionIdReuse 設定時のセキュリティ問題について(CVE-2016-0385)

Created by Kazuma Tanabe on
Published URL:
https://www.ibm.com/support/pages/node/549919
549919

Security Bulletin


Summary

Web コンテナーのカスタム・プロパティー HttpSessionIdReuseを有効に設定している場合に、不正にセキュリティー制限を回避される脆弱性(CVE-2016-0385) が報告されました。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Bypass security restrictions in WebSphere Application Server (CVE-2016-0385)
http://www.ibm.com/support/docview.wss?uid=swg21982588

CVEID: CVE-2016-0385
DESCRIPTION: Web コンテナーのカスタム・プロパティー HttpSessionIdReuseを有効に設定している場合に、buffer overflowにより不正にセキュリティ制限を回避される可能性があります。
CVSS Base Score: 3.1
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/112359 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)

Affected Products and Versions

WebSphere Application Serverの下記のバージョン、および Liberty Profile において、Web コンテナーのカスタム・プロパティー HttpSessionIdReuseを有効にしている場合に影響を受けます。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0
  • V7.0

Remediation/Fixes

個別修正 PI60026、もしくは PI60026を含むFix Packを適用してください。

WebSphere Application Server:

バージョン対応策
V9.0.0.0
  • 個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 9.0.0.1以降へアップデートします。
※Fix Pack 9.0.0.1は、 2016年09月16日にリリース予定です。(2016/08/23時点)
V8.5.5.0~V8.5.5.9
  • Fix Pack 8.5.5.8以降にアップデートし、個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 8.5.5.10以降へアップデートします。
V8.0.0.0~V8.0.0.12
  • Fix Pack 8.0.0.11以降にアップデートし、個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 8.0.0.13以降へアップデートします。
※Fix Pack 8.0.0.13は、 2016年10月24日にリリース予定です。(2016/08/23時点)
V7.0.0.0~V7.0.0.41
  • Fix Pack 7.0.0.39以降にアップデートし、個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 7.0.0.43以降へアップデートします。
※Fix Pack 7.0.0.43は、 2017年2Qにリリース予定です。(2016/07/07時点)
WebSphere Application Server Liberty Profile :
バージョン対応策
V16.0.0.2
  • 個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 16.0.0.3以降へアップデートします。
※Fix Pack 16.0.0.3は、 2016年09月16日にリリース予定です。(2016/08/23時点)
V8.5.5.0~V8.5.5.9
  • Fix Pack 8.5.5.9以降にアップデートし、個別修正モジュールAPAR PI60026 を適用します。
-- または --
  • Fix Pack 16.0.0.3以降へアップデートします。
※Fix Pack 16.0.0.3は、 2016年09月16日にリリース予定です。(2016/08/23時点)
※Libertyのフィックスパックの番号付けが、継続的デリバリー・モデルに対応して新しくなります。
詳細は、以下をご参照ください。
New fix pack numbering for WebSphere Application Server Liberty will affect both Version 8.5 and Version 9.0
http://www.ibm.com/support/docview.wss?uid=swg21984970

Workarounds and Mitigations

Web コンテナーのカスタム・プロパティー HttpSessionIdReuseを無効(false)に設定します。

セッション管理のカスタム・プロパティー
https://www.ibm.com/support/knowledgecenter/ja/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/rprs_custom_properties.html

Get Notified about Future Security Bulletins

References

Off

Change History

2016/08/31 初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"General","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0.0.0;8.5.5;8.5;8.0;7.0","Edition":"Base;Developer;Express;Liberty;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21989191