Security Bulletin
Summary
管理コンソールから"Web Services Security バインディング"の設定を変更している場合、ユーザーが意図している設定が構成されているかどうか、コンソールから確認できない問題が発生します。
もし、「Web Services Security バインディング」の暗号スイートの設定変更が正しく保存できていなかった場合に、ユーザーが想定したセキュリティ強度を満たしていない状態になってしまう可能性があります。
管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
https://www.ibm.com/support/knowledgecenter/ja/SSAW57_8.5.5/com.ibm.websphere.nd.iseries.doc/ae/twbs_confsvrsecbndac.html
Vulnerability Details
Potential security vulnerability in the WebSphere Application Server Admin Console (CVE-2017-1501)
https://www.ibm.com/support/pages/node/565975
CVEID: CVE-2017-1501
DESCRIPTION: WebSphere Application Server において、管理コンソールで構成した"Web Services Security バインディング"のセキュリティー設定が、コンソール上で確認できないため、
ユーザーが意図したセキュリティー強度よりも低い状態となってしまう恐れがあります。
CVSS Base Score: 5.9
CVSS Temporal Score: https://exchange.xforce.ibmcloud.com/vulnerabilities/129576 現状値はこちらのURLをご確認ください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
Affected Products and Versions
- Version 9.0
- Version 8.5
- Version 8.0
Remediation/Fixes
この問題が起きるのは以下の特定のバージョンに限られます。
9.0.0.0 ~ 9.0.0.4
8.5.5.10 ~ 8.5.5.11
8.0.0.13
影響を受けるバージョンを使用し、"Web Services Security バインディング"の暗号スイートの設定を変更している場合は、個別修正モジュールAPAR PI80889、または、個別修正モジュールを含むFix Packを適用することを推奨致します。
For WebSphere Application Server traditional and WebSphere Application Server Hypervisor Edition:
For V9.0.0.0 ~ 9.0.0.4:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・Fix Pack 9.0.0.5以降へアップデートします。
For V8.5.5.10 ~ 8.5.5.11:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・ Fix Pack 8.5.5.12 以降へアップデートします。
For V8.0.0.13:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・ Fix Pack 8.0.0.14 以降へアップデートします。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
Change History
2017/08/17 初版発行
2021/02/02 リンクURL修正
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
01 February 2021
UID
swg22007388