IBM Support

【セキュリティ情報】IBM HTTP Serverにおける情報漏洩について (CVE-2017-12613)

Created by Chizuko Mochizuki on
Published URL:
https://www.ibm.com/support/pages/node/568309
568309

Security Bulletin


Summary

WebSphere Application Serverにも同梱されているIBM HTTP Serverに潜在的な情報漏洩の可能性があります。

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Information disclosure in IBM HTTP Server (CVE-2017-12613)
https://www.ibm.com/support/pages/node/304539

Vulnerability Details

CVEID: CVE-2017-12613


DESCRIPTION: Apache Portable Runtime APRにおいて、apr_time_exp *()関数で配列の領域外の参照により、リモートからの攻撃者が機密情報を取得する可能性があります。無効なmonthフィールドの値を用いて、リモートからの攻撃者がこの脆弱性を悪用して機密情報を取得したり、サービス拒否を引き起こしたりする可能性があります。
CVSS Base Score: 9.1
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/134049 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H)

Affected Products and Versions

全てのエディションのWebSphere Application Server、または、WebSphere Application Serverをバンドルしている製品に同梱されている次のバージョンのIBM HTTP Server(Apache Base)がこの脆弱性の影響を受ける可能性があります。
・version 9.0
・version 8.5
・version 8.0
・version 7.0

Remediation/Fixes

VRMF

 Remediation / Fix
V9.0.0.0 - V9.0.0.6
  • Fix Packレベル9.0.0.5以降にアップデートし、個別修正モジュールPI90598 を適用します。
--または--
  • Fix Pack 9.0.0.7以降へアップデートします。
V8.5.0.0 - V8.5.5.13
  • Fix Packレベル8.5.5.12以降にアップデートし、個別修正モジュールPI90598 を適用します。
--または--
  • Fix Pack 8.5.5.14以降へアップデートします。
※ Fix Pack 8.5.5.14は2018年8月20日にリリース予定です。 (2018/3/27時点)
V8.0.0.0 - V8.0.0.14
  • Fix Packレベル8.0.0.13以降にアップデートし、個別修正モジュールPI90598 を適用します。
--または--
  • Fix Pack 8.0.0.15以降へアップデートします。
※ Fix Pack 8.0.0.15は2018年4月30日にリリース予定です。 (2018/3/27時点)
V7.0.0.0 - V7.0.0.43
  • Fix Packレベル7.0.0.43にアップデートし、個別修正モジュールPI90598 を適用します。
--または
  • Fix Pack 7.0.0.45以降へアップデートします。
※ Fix Pack 7.0.0.45は2018年4月30日にリリース予定です。 (2018/3/27時点)

Important note
IBMは、全てのSystem zユーザーがSystem zセキュリティ・ポータルに加入して、最新の重大なSystem zセキュリティーおよび保全サービスを受け取ることを強く推奨しています。
My Notifications を購読していない場合は、System z Security web site を参照してください。
SecurityやIntegrityのAPARおよびそのfixがこのポータルに掲載されます。
潜在的なリスクを最小限に抑えるために、CVSSスコアを検討し、全てのSecurityやIntegrityのfixをできるだけ早く適用することを推奨します。
 

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Change History

【変更履歴】
2018/03/27 初版発行
2021/01/12 URLの変更有無確認及び移行先への変更

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"IBM HTTP Server","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5;8.0;7.0","Edition":"Advanced;Base;Developer;Enterprise;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
12 January 2021

UID

swg22014725

Page Feedback