IBM Support

【セキュリティ情報】WebSphere Application Server の管理コンソールにおける情報漏洩の脆弱性について(CVE-2017-1741)

Created by Keigo Yamasaki on
Published URL:
https://www.ibm.com/support/pages/node/567805
567805

Security Bulletin


Summary

WebSphere Application Server 管理コンソールに潜在的な情報漏洩の脆弱性が存在します。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Information disclosure in WebSphere Application Server Admin Console (CVE-2017-1741)

https://www.ibm.com/support/pages/node/302551

CVEID: CVE-2017-1741
説明: IBM WebSphere Application Serverで、 不適切な管理コンソール・パネルのフィールドの処理により、リモートの攻撃者が重要な情報を取得する可能性がある脆弱性(CVE-2017-1741)が確認されました。これにより、悪意のあるユーザーがファイルシステム上のファイルを不正に読み取ることができる可能性があります。
CVSS 基本スコア: 4.3
CVSS 一時スコア: 現在の一時スコアについては https://exchange.xforce.ibmcloud.com/vulnerabilities/134931 をご参照ください。
CVSS 環境スコア*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

Affected Products and Versions

この脆弱性は、WebSphere Application Server の下記のバージョンおよびリリースに影響します。
  • Version 9.0
  • Version 8.5
  • Version 8.0
  • Version 7.0

Remediation/Fixes

個別修正モジュール、APAR PI90042 を含む Fix Pack、または PTF をできる限り早く適用いただくことをお薦めします。

WebSphere Application Server traditional と WebSphere Application Server Hypervisor Edition:
バージョン 対応策
V9.0.0.0 ~ 9.0.0.6
  • Fix Pack 9.0.0.5 以降にアップデートし、個別修正モジュール PI90042 を適用します。
-- または --
  • Fix Pack 9.0.0.7 以降へアップデートします。
V8.5.0.0 ~ 8.5.5.13
  • Fix Pack 8.5.5.2 以降にアップデートし、個別修正モジュール PI90042 を適用します。
-- または --
  • Fix Pack 8.5.5.14 以降へアップデートします。
V8.0.0.0 ~ 8.0.0.14
  • Fix Pack 8.0.0.2 以降にアップデートし、個別修正モジュール PI90042 を適用します。
-- または --
  • Fix Pack 8.0.0.15 以降へアップデートします。
V7.0.0.0 ~ 7.0.0.43
  • Fix Pack 7.0.0.27 以降にアップデートし、個別修正モジュール PI90042 を適用します。
-- または --
  • Fix Pack 7.0.0.45 以降へアップデートします。

Get Notified about Future Security Bulletins

References

Off

Change History

2018/03/08 初版発行
2021/02/02 リンクURL修正

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Administrative Console (all non-scripting)","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF014","label":"iOS"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5;8.0;7.0","Edition":"Advanced;Base;Developer;Enterprise;Express;Network Deployment;Single Server","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
01 February 2021

UID

swg22014402