IBM Support

【セキュリティ情報】 IBM HTTP Serverの複数の脆弱性 (CVE-2017-15710, CVE-2017-15715, CVE-2018-1301)

Created by Masanori Aoike on
Published URL:
https://www.ibm.com/support/pages/node/570387
570387

Security Bulletin


Summary

WebSphere Application Server に同梱の IBM HTTP Server に複数の脆弱性があります。

最新の情報については下記の文書(英語)もご参照ください。
IBM Security Bulletin: Multiple vulnerabilities in the IBM HTTP Server (CVE-2017-15710, CVE-2017-15715, CVE-2018-1301)
http://www.ibm.com/support/docview.wss?uid=swg22015344

Vulnerability Details

CVEID: CVE-2018-1301
DESCRIPTION:
HTTP ヘッダーを読み取りにてヘッダーサイズの上限に達した後、領域外へのアクセス・エラーが発生することによりサービスが妨害される可能性があります。
悪意のあるユーザーが特別に細工されたHTTP リクエストを送信する事によってサービスがクラッシュする可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140852
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2017-15715
DESCRIPTION:
ファイル名に <FileMatch> 式を使用する事により、悪意あるファイル名の改行文字に '$' を一致させる事が出来ます。ファイル名の末尾部分を照合して、悪意のあるユーザーは <FilesMatch> ディレクティブを使用するセキュリティー制御をバイパス出来る可能性があります。
CVSS Base Score: 3.7
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140857
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

CVEID: CVE-2017-15710
DESCRIPTION:
領域外へのメモリー書き出しによりサービスが妨害される可能性があります。悪意のあるユーザーが Accept-Language ヘッダーに悪意のあるコードを埋め込む事によってサービスがクラッシュする可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアはこちらをご参照ください。https://exchange.xforce.ibmcloud.com/vulnerabilities/140858
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

Affected Products and Versions

これらの複数の脆弱性は WebSphere Application Server に同梱している以下の IBM HTTP Server のバージョンに影響があります。

  • Version 9.0
  • Version 8.5
  • Version 8.0
  • Version 7.0

Remediation/Fixes

V9.0.0.0 〜 9.0.0.7 をご利用のお客様:

· FixPack9.0.0.6以降にアップデートし、個別修正プログラム PI95670 を適用します。
 --または--
· V9.0.0.8 以上の Fix Pack を適用します。
※v9.0.0.8は、2018/06/22リリース予定です。(2018/05/09時点)

V8.5.0.0 〜 8.5.5.13 をご利用のお客様:

· FixPack8.5.5.12以降にアップデートし、個別修正プログラム PI95670 を適用します。
 --または--
· V8.5.5.14 以上の Fix Pack を適用します。
※v8.5.5.14は、2018/08/20リリース予定です。(2018/05/09時点)

V8.0.0.0 〜 8.0.0.14 をご利用のお客様:

· FixPack8.0.0.14以降にアップデートし、個別修正プログラム PI95670 を適用します。

V7.0.0.0 〜 7.0.0.43 をご利用のお客様:

· FixPack7.0.0.43以降にアップデートし、個別修正プログラム PI95670 を適用します。

Get Notified about Future Security Bulletins

References

Off

Change History

2018/05/09 初版発行

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Not Applicable","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5;8.0;7.0","Edition":"Advanced","Line of Business":{"code":"LOB45","label":"Automation"}},{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
07 September 2022

UID

swg22016026