Security Bulletin
Summary
デフォルト以外の設定の構成をしている場合、ユーザー入力の検証が不適切なことに起因し、クロスサイトリクエストフォージェリ (CSRF) 攻撃が可能です。
Vulnerability Details
CVEID: CVE-2016-2884
説明: デフォルト以外の設定の構成をしている場合、ユーザー入力の検証が不適切なことに起因し、IBM Forms Experience Builder はクロスサイトリクエストフォージェリ (CSRF) に対し脆弱です。悪意のあるウェブサイトにアクセスするよう認証済みのユーザーを誘導することによって、リモート攻撃者は変形された HTTP リクエストを送信することができます。攻撃者はこの脆弱性を利用し、クロスサイトスクリプティング攻撃、Web キャッシュポイズニングあるいは他の悪意ある行動を実行することができます。
CVSS Base Score: 7.1
CVSS Temporal Score: 現在のスコアについては、ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Affected Products and Versions
IBM Forms Experience Builder 8.5
IBM Forms Experience Builder 8.5.1
IBM Forms Experience Builder 8.6.x
Remediation/Fixes
以下の修正プログラムを適用することにより問題は解決しますが、IBM Forms Experience Builder の REST API 使用するすべてのアプリケーションに影響を与える可能性があります(データとアプリケーション管理の双方とも)。
| 製品 | VRMF | APAR | 対応策 |
| IBM Forms Experience Builder | 8.5.0.* | LO89686 | これらのバージョンに対する修正が必要な場合には、IBM サポートにお問い合わせください。 |
| IBM Forms Experience Builder | 8.5.1.* | LO89686 | |
| IBM Forms Experience Builder | 8.6.* | LO89686 | このリンクから修正をダウンロードし、適用してください。 |
注:REST API を利用するアプリケーションのお客様のために、ibm.nitro.NitroConfig.ProtectSensitiveActions という構成オプションを false 設定することにより、一時的に動作を戻す機能が存在します。ただし、この設定はシステムをこの脆弱性にさらされたままにすることとなり、推奨されません。
IBM Forms Experience Builder の REST API を使用するアプリケーションを修正するには、ヘッダーの一部として、推測が困難なランダムに生成された使い捨ての数値を追加する必要があります。具体的な例に関しては、Data access REST API とアプリケーション管理 REST API の Table 1 を参照してください。
Workarounds and Mitigations
なし
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Internal Use Only
(原文)
| Number | Published | Title | # | Owner | Expires | |
| 1987252 | 2016/08/04 00:41:00 | Security Bulletin: IBM Forms Experience Builder vulnerable to CSRF when configured with non default settings (CVE-2016-2884) | Mark Birch | Never Expire |
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21993487