IBM Support

IBM WebSphere Application ServerにおけるApache Commons FileUploadの脆弱性の影響について(CVE-2016-3092)

Created by Kazuma Tanabe on
Published URL:
https://www.ibm.com/support/pages/node/551725
551725

Security Bulletin


Summary

Apache Commons FileUploadの脆弱性(CVE-2016-3092) が報告されました。
WebSphere Application ServerとWebSphere Application Server Hypervisor Editionは、Apache Commons FileUploadを管理コンソールとWebコンテナーで使用しているためこの脆弱性の影響を受けます。
また、IBM Compute Gridのバッチ処理でも影響を受けます。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Apache Commons FileUpload Vulnerability affects WebSphere Application Server (CVE-2016-3092)
http://www.ibm.com/support/docview.wss?uid=swg21987864

CVEID: CVE-2016-3092
DESCRIPTION: Apache Commons FileUploadでサービス運用妨害 (DoS) の脆弱性が報告されました。悪意のある第3者のファイル・アップロードリクエストによりサービス停止が引き起こされる可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/114336 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)

Affected Products and Versions

WebSphere Application ServerとHypervisor Editionの下記のバージョン、および Liberty Profile において影響を受けます。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0
  • V7.0

また、WebSphere Extended Deployment Compute Gridの下記のバージョンも影響をうけます。

  • V8.0 (WebSphere Application Server V7.0 または V8.0上で実行)

Remediation/Fixes

各個別修正 もしくは それらを含むFix Packを適用してください。
※CVE-2016-0385に対して、影響するコンポーネントにより以下のAPARが公開されています。
お使いの環境に合致したモジュールの適用をご検討ください。

PI65218:管理コンソールへの修正(Liberty Profileは、該当しません。)
PI65853:Webコンテナーへの修正(WAS V8.0未満は、該当しません。)
PI65815:WebSphere Application Server V8.5/V9.0 Javaバッチのバッチ・ジョブ管理への修正
PI65919: WebSphere Application Server V7.0/V8.0でCompute Grid使用時のバッチ・ジョブ管理への修正

※個別修正モジュールPI65815を適用してる環境にFixPackv8.5.5.11もしくは9.0.0.1を適用した場合に以下の警告が表示されます。ただし、このメッセージは、無視することが可能です。

WARNING: One or more fixes will be uninstalled when IBM WebSphere Application Server is updated to 8.5.5.11 (or 9.0.0.1). The update does not address issues that were resolved previously by the maintenance packages. The problems might return if fixes for the following issues are not reapplied or have new fixes applied to prevent the problems from returning.
- PI65815 in the fix package 8.5.5.1-WS-WAS-IFPI65815.

WebSphere Application Server:

バージョン対応策
V9.0.0.0
  • 個別修正モジュールAPAR PI65218PI65853 を適用します。
-- または --
  • Fix Pack 9.0.0.1以降へアップデートします。
V8.5.5.0~V8.5.5.10
  • Fix Pack 8.5.5.5以降にアップデートし、個別修正モジュールAPAR PI65218PI65853 を適用します。
-- または --
  • Fix Pack 8.5.5.11以降へアップデートします。
※Fix Pack 8.5.5.11は、 2016年12月23日にリリース予定です。(2016/09/21時点)
V8.0.0.0~V8.0.0.12
  • Fix Pack 8.0.0.9以降にアップデートし、個別修正モジュールAPAR PI65218PI65853 を適用します。
-- または --
  • Fix Pack 8.0.0.13以降へアップデートします。
※Fix Pack 8.0.0.13は、 2017年02月20日にリリース予定です。(2016/09/21時点)
V7.0.0.0~V7.0.0.41
  • 個別修正モジュールAPAR PI65218 を適用します。
-- または --
  • Fix Pack 7.0.0.43以降へアップデートします。
※Fix Pack 7.0.0.43は、 2017年04月24日にリリース予定です。(2016/09/21時点)
* WebSphere Application Serverで、Compute Gridを使用している、または、WebSphere Extended Deployment Compute GridV8.0を使用している場合はPI65815、または、PI65919も適用する必要があります。
バージョン対応策
V9.0.0.0
  • 個別修正モジュールAPAR PI65815 を適用します。
-- または --
  • Fix Pack 9.0.0.1以降へアップデートします。
V8.5.5.0~V8.5.5.10
  • Fix Pack 8.5.5.1以降にアップデートし、個別修正モジュールAPAR PI65815 を適用します。
-- または --
  • Fix Pack 8.5.5.11以降へアップデートします。
※Fix Pack 8.5.5.11は、 2016年12月23日にリリース予定です。(2016/09/21時点)
V8.0.0.0~V8.0.0.12
  • 個別修正モジュールAPAR PI65919 を適用します。
-- または --
  • WebSphere Extended Deployment Compute Grid Fix Pack 8.0.0.6以降へアップデートします。
※ Compute Grid Fix Pack 8.0.0.6は、 リリース予定は、未定です。(2016/09/21時点)
V7.0.0.0~V7.0.0.41
  • 個別修正モジュールAPAR PI65919 を適用します。
-- または --
  • WebSphere Extended Deployment Compute Grid Fix Pack 8.0.0.6以降へアップデートします。
※ Compute Grid Fix Pack 8.0.0.6は、 リリース予定は、未定です。(2016/09/21時点)


WebSphere Application Server Liberty Profile :
バージョン対応策
V16.0.0.2
  • 個別修正モジュールAPAR PI65853を適用します。
-- または --
  • Fix Pack 16.0.0.3以降へアップデートします。
V8.5.5.0~V8.5.5.9
  • Fix Pack 8.5.5.8以降にアップデートし、個別修正モジュールAPAR PI65853 を適用します。
-- または --
  • Fix Pack 16.0.0.3以降へアップデートします。
※Libertyのフィックスパックの番号付けが、継続的デリバリー・モデルに対応して新しくなります。
詳細は、以下をご参照ください。
New fix pack numbering for WebSphere Application Server Liberty will affect both Version 8.5 and Version 9.0
http://www.ibm.com/support/docview.wss?uid=swg21984970

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Change History

【変更履歴】
2016/09/21 初版発行
2018/03/29 PI65815に対するWarningメッセージ追記

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0.0.0;8.5.5;8.5;8.0;7.0","Edition":"Base;Developer;Express;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21990416

Page Feedback