IBM Support

IBM HTTP Serverにおける Expatの脆弱性の影響について

Created by Kazuma Tanabe on
Published URL:
https://www.ibm.com/support/pages/node/551727
551727

Security Bulletin


Summary

IBM HTTP Serverは、Expatで報告されている以下の脆弱性の影響を受ける場合があるため対応が必要です。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple Denial of Service vulnerabilities with Expat may affect IBM HTTP Server
http://www.ibm.com/support/docview.wss?uid=swg21988026

CVEID: CVE-2012-0876
DESCRIPTION: Expatには、攻撃者がhash値の衝突を引き起こすようなポストリクエストを送信することで、CPU高負荷状態を引き起こすような脆弱性が存在します。
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/73868 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)
CVEID: CVE-2012-1148
DESCRIPTION: Expatには、poolGrow関数のメモリー・リークによりサービス運用妨害が発生するような脆弱性が存在します。
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/73867 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)
CVEID: CVE-2016-4472
DESCRIPTION: Expatには、ある最適化設定を持つコンパイラによりオーバーフロー保護が削除されてしまう問題が存在します。攻撃者は、細工されたXMLデータを使用することでアプリケーションをクラッシュさせることができる脆弱性が存在します。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/114683 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)
CVEID: CVE-2016-0718
DESCRIPTION: Expatには、細工されたXMLデータを使用することによりバッファー・オーバーフローを引き起こし、サービス運用妨害や任意のコードを実行させる脆弱性が存在します。
CVSS Base Score: 9.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/113408 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)

Affected Products and Versions

WebSphere Application Serverに同梱している下記のバージョンのIBM HTTP Serverを使用している場合に影響を受けます。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0
  • V7.0

Remediation/Fixes

個別修正 PI66849、もしくは PI65855を含むFix Packを適用してください。
※PI66849は、CVE-2016-5387の脆弱性への修正も含まれています。
IBM HTTP ServerにおけるHTTPリダイレクトの脆弱性の影響について (CVE-2016-5387)
http://www.ibm.com/support/docview.wss?uid=swg21988092

バージョン対応策
V9.0.0.0~V9.0.0.2
  • 個別修正モジュールAPAR PI66849 を適用します。
-- または --
  • Fix Pack 9.0.0.2以降へアップデートします。
※Fix Pack 9.0.0.2は、 2016年12月09日にリリース予定です。(2016/12/01時点)
V8.5.0.0~V8.5.5.10
  • Fix Pack 8.5.5.7以降にアップデートし、個別修正モジュールAPAR PI66849 を適用します。
-- または --
  • Fix Pack 8.5.5.11以降へアップデートします。
※Fix Pack 8.5.5.11は、 2016年12月23日にリリース予定です。(2016/12/01時点)
V8.0.0.0~V8.0.0.12
  • Fix Pack 8.0.0.10以降にアップデートし、個別修正モジュールAPAR PI66849 を適用します。
-- または --
  • Fix Pack 8.0.0.13以降へアップデートします。
※Fix Pack 8.0.0.13は、 2017年02月20日にリリース予定です。(2016/12/01時点)
V7.0.0.0~V7.0.0.41
  • Fix Pack 7.0.0.37以降にアップデートし、個別修正モジュールAPAR PI66849 を適用します。
-- または --
  • Fix Pack 7.0.0.43以降へアップデートします。
※Fix Pack 7.0.0.43は、 2017年4月24日にリリース予定です。(2016/12/01時点)

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Not Applicable","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0;7.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
07 September 2022

UID

swg21990418

Page Feedback