IBM Support

(参考) デフォルト以外の設定の構成をしている場合の IBM Forms Experience Builder の CSRF に対する脆弱性 (CVE-2016-2884)

Created by Kenichi Mizuno on
Published URL:
https://www.ibm.com/support/pages/node/556107
556107

Security Bulletin


Summary

デフォルト以外の設定の構成をしている場合、ユーザー入力の検証が不適切なことに起因し、クロスサイトリクエストフォージェリ (CSRF) 攻撃が可能です。

Vulnerability Details

CVEID: CVE-2016-2884
説明: デフォルト以外の設定の構成をしている場合、ユーザー入力の検証が不適切なことに起因し、IBM Forms Experience Builder はクロスサイトリクエストフォージェリ (CSRF) に対し脆弱です。悪意のあるウェブサイトにアクセスするよう認証済みのユーザーを誘導することによって、リモート攻撃者は変形された HTTP リクエストを送信することができます。攻撃者はこの脆弱性を利用し、クロスサイトスクリプティング攻撃、Web キャッシュポイズニングあるいは他の悪意ある行動を実行することができます。

CVSS Base Score: 7.1
CVSS Temporal Score: 現在のスコアについては、ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)

Affected Products and Versions

IBM Forms Experience Builder 8.5
IBM Forms Experience Builder 8.5.1
IBM Forms Experience Builder 8.6.x

Remediation/Fixes

以下の修正プログラムを適用することにより問題は解決しますが、IBM Forms Experience Builder の REST API 使用するすべてのアプリケーションに影響を与える可能性があります(データとアプリケーション管理の双方とも)。

製品 VRMF APAR 対応策
IBM Forms Experience Builder 8.5.0.*LO89686これらのバージョンに対する修正が必要な場合には、IBM サポートにお問い合わせください。
IBM Forms Experience Builder 8.5.1.*LO89686
IBM Forms Experience Builder 8.6.*LO89686このリンクから修正をダウンロードし、適用してください。

注:REST API を利用するアプリケーションのお客様のために、ibm.nitro.NitroConfig.ProtectSensitiveActions という構成オプションを false 設定することにより、一時的に動作を戻す機能が存在します。ただし、この設定はシステムをこの脆弱性にさらされたままにすることとなり、推奨されません。
IBM Forms Experience Builder の REST API を使用するアプリケーションを修正するには、ヘッダーの一部として、推測が困難なランダムに生成された使い捨ての数値を追加する必要があります。具体的な例に関しては、Data access REST APIアプリケーション管理 REST API の Table 1 を参照してください。

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

Internal Use Only

(原文)


NumberPublishedTitle#OwnerExpires
DCF Technotes (IS)
19872522016/08/04 00:41:00Security Bulletin: IBM Forms Experience Builder vulnerable to CSRF when configured with non default settings (CVE-2016-2884)
Mark BirchNever Expire

[{"Product":{"code":"SS6KJL","label":"IBM Forms Experience Builder"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"8.6;8.5.1;8.5.0.1;8.5","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
16 June 2018

UID

swg21993487