IBM Support

【セキュリティ情報】 WebSphere Application Server Admin Console にセキュリティの脆弱性 (CVE-2017-1501)

Created by Masatsugu Sasai on
Published URL:
https://www.ibm.com/support/pages/node/566857
566857

Security Bulletin


Summary

管理コンソールから"Web Services Security バインディング"の設定を変更している場合、ユーザーが意図している設定が構成されているかどうか、コンソールから確認できない問題が発生します。
もし、「Web Services Security バインディング」の暗号スイートの設定変更が正しく保存できていなかった場合に、ユーザーが想定したセキュリティ強度を満たしていない状態になってしまう可能性があります。

管理コンソールを使用したサーバー・セキュリティー・バインディングの構成
https://www.ibm.com/support/knowledgecenter/ja/SSAW57_8.5.5/com.ibm.websphere.nd.iseries.doc/ae/twbs_confsvrsecbndac.html

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Potential security vulnerability in the WebSphere Application Server Admin Console (CVE-2017-1501)
https://www.ibm.com/support/pages/node/565975

CVEID: CVE-2017-1501
DESCRIPTION: WebSphere Application Server において、管理コンソールで構成した"Web Services Security バインディング"のセキュリティー設定が、コンソール上で確認できないため、
ユーザーが意図したセキュリティー強度よりも低い状態となってしまう恐れがあります。
CVSS Base Score: 5.9
CVSS Temporal Score: https://exchange.xforce.ibmcloud.com/vulnerabilities/129576 現状値はこちらのURLをご確認ください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions

WebSphere Application Serverの下記のバージョンにおいて影響を受けます。
  • Version 9.0
  • Version 8.5
  • Version 8.0

Remediation/Fixes

"Web Services Security バインディング"の暗号スイートの設定を変更した場合に、その設定が正しく保存されていない可能性があります。その場合は、正しい設定になっているかどうか確認する必要がありますが、管理コンソールから確認できない問題があります。

この問題が起きるのは以下の特定のバージョンに限られます。


9.0.0.0 ~ 9.0.0.4
8.5.5.10 ~ 8.5.5.11
8.0.0.13

影響を受けるバージョンを使用し、"Web Services Security バインディング"の暗号スイートの設定を変更している場合は、個別修正モジュールAPAR PI80889、または、個別修正モジュールを含むFix Packを適用することを推奨致します。

For WebSphere Application Server traditional and WebSphere Application Server Hypervisor Edition:

For V9.0.0.0 ~ 9.0.0.4:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・Fix Pack 9.0.0.5以降へアップデートします。


For V8.5.5.10 ~ 8.5.5.11:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・ Fix Pack 8.5.5.12 以降へアップデートします。

For V8.0.0.13:
・ 個別修正モジュール APAR PI80889 を適用します。
--または--
・ Fix Pack 8.0.0.14 以降へアップデートします。
 

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

Change History

2017/08/17 初版発行
2021/02/02 リンクURL修正

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Administrative Console (all non-scripting)","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5;8.0","Edition":"Advanced;Base;Developer;Enterprise;Express;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
01 February 2021

UID

swg22007388