Security Bulletin
Summary
WebSphere Application Server に同梱の IBM HTTP Server に複数の脆弱性があります。
最新の情報については下記の文書(英語)もご参照ください。
IBM Security Bulletin: Multiple vulnerabilities in the IBM HTTP Server (CVE-2017-15710, CVE-2017-15715, CVE-2018-1301)
http://www.ibm.com/support/docview.wss?uid=swg22015344
Vulnerability Details
CVEID: CVE-2018-1301
DESCRIPTION: HTTP ヘッダーを読み取りにてヘッダーサイズの上限に達した後、領域外へのアクセス・エラーが発生することによりサービスが妨害される可能性があります。
悪意のあるユーザーが特別に細工されたHTTP リクエストを送信する事によってサービスがクラッシュする可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140852
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
CVEID: CVE-2017-15715
DESCRIPTION: ファイル名に <FileMatch> 式を使用する事により、悪意あるファイル名の改行文字に '$' を一致させる事が出来ます。ファイル名の末尾部分を照合して、悪意のあるユーザーは <FilesMatch> ディレクティブを使用するセキュリティー制御をバイパス出来る可能性があります。
CVSS Base Score: 3.7
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140857
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)
CVEID: CVE-2017-15710
DESCRIPTION: 領域外へのメモリー書き出しによりサービスが妨害される可能性があります。悪意のあるユーザーが Accept-Language ヘッダーに悪意のあるコードを埋め込む事によってサービスがクラッシュする可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140858
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Affected Products and Versions
これらの複数の脆弱性は WebSphere Application Server に同梱している以下の IBM HTTP Server のバージョンに影響があります。
- Version 9.0
- Version 8.5
- Version 8.0
- Version 7.0
Remediation/Fixes
V9.0.0.0 〜 9.0.0.7 をご利用のお客様:
· FixPack9.0.0.6以降にアップデートし、個別修正プログラム PI95670 を適用します。
--または--
· V9.0.0.8 以上の Fix Pack を適用します。
※v9.0.0.8は、2018/06/22リリース予定です。(2018/05/09時点)
V8.5.0.0 〜 8.5.5.13 をご利用のお客様:
· FixPack8.5.5.12以降にアップデートし、個別修正プログラム PI95670 を適用します。
--または--
· V8.5.5.14 以上の Fix Pack を適用します。
※v8.5.5.14は、2018/08/20リリース予定です。(2018/05/09時点)
V8.0.0.0 〜 8.0.0.14 をご利用のお客様:
· FixPack8.0.0.14以降にアップデートし、個別修正プログラム PI95670 を適用します。
V7.0.0.0 〜 7.0.0.43 をご利用のお客様:
· FixPack7.0.0.43以降にアップデートし、個別修正プログラム PI95670 を適用します。
Get Notified about Future Security Bulletins
References
Change History
2018/05/09 初版発行
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
07 September 2022
UID
swg22016026