Flashes (Alerts)
Abstract
当セキュリティー情報はCVE-2014-0114 で公開されたセキュリティー脆弱性に対するWebSphere Application Server での対応についてお知らせするものです。
Content
更新ログ
(2014/05/07 12:52) 影響を受けるバージョンについて追記
(2014/05/12 16:44) タイトル修正
(2014/05/28 09:14) 英文フラッシュ発行を受け改訂
(2014/05/29 16:10) 誤字修正
(2014/06/17 03:13) PI17190へのリンク先(APAR サイト)の修正に合わせて、対応策を変更
当セキュリティー情報はCVE-2014-0114 で公開されたセキュリティー脆弱性に対するWebSphere Application Server での対応についてお知らせするものです。
CVE-2014-0114 の詳細は【関連情報】をご参照ください。
最新情報はオリジナルの技術文書(英文)をご参照ください。
Security Bulletin: Classloader Manipulation Vulnerability in IBM WebSphere Application Server CVE-2014-0114
【本文】
CVEID: CVE-2014-0114
Apache Struts 1.xには、クラスローダーをリモートから操作できる脆弱性(CVE-2014-0114)が存在します。
WebSphere Application Server の管理コンソールおよび WebSphere Extended Deployment Compute Grid ではStruts1を使用しています。
お使いの環境が【対象ソフトウェア】に記載の環境に該当する場合は、【対応策】に記載されている修正を適用してください。
【ご注意ください】
本脆弱性 は、WebSphere Application Serverに同梱されているオプショナル・ライブラリー配下(<WAS_ROOT>/optionalLibraries/Apache/Struts)のStruts V1.Xライブラリーにも該当します。
しかし、WebSphere Application Server では、V7.0以降、オプショナル・ライブラリーとして提供しているStruts V1.Xの使用を非推奨とすることを2008年に発表(※)しています。
そのため、アプリケーションでStrutsを使用する場合は、CVE-2014-0114 の脆弱性への対応のため、Apacheがサポートしている脆弱性対応済みのStrutsバージョンへの移行をお勧めします。
Apache Strutsに関する情報・ダウンロードについては、Apache Struts Webサイトをご参照ください。
Struts1からStruts2への移行については、移行ガイド をご参照ください。
(※) 非推奨のフィーチャー > バージョン 7.0 の非推奨フィーチャー
【重要】
弊社では、今後オプショナル・ライブラリーとして提供しているStruts 1.x に関する修正モジュールを提供する予定はありません。
お客様のアプリケーションでご利用になる場合は、お客様ご自身でApache StrutsのWebサイトより修正モジュールを入手しご利用ください。
また、弊社は、WebSphere Application Server V7.0.0.37/V8.0.0.11/V8.5.5.4より、.現在同梱しているオプショナル・ライブラリー配下のStruts Version 1.xの4バージョンについて、今後削除し同梱しないことを予定しています。
もし、共有ライブラリーとしてオプショナル・ライブ ラリー配下のStrutsをアプリケーションで使用している場合は、WebSphere Application Server V7.0.0.37/V8.0.0.11/V8.5.5.4にバージョンアップする前に以下の対応を行う必要があります。
- 現在サポートされているStrutsバージョンを使用するようにアプリケーションを改修する。
- Struts 1.x パッケージをearに含め開発する。 ※ただし、CVE-2014-0114に対するStruts 1.xの修正モジュールは現在提供されていません。
【対象ソフトウェア】
- WebSphere Application Server and IBM WebSphere Application Server Hypervisor Edition
IBM WebSphere Application Server V7.0.0.0 - V7.0.0.31
IBM WebSphere Application Server V6.1.0.0 - V6.1.0.47
※WAS V8.0/8.5については本脆弱性(CVE-2014-0114)の影響は受けません。
- Modern Batch Feature Pack on WebSphere Application Server Version 7
V1.0.0.0 - 1.0.0.5:
- WebSphere Extended Deployment Compute Grid:
IBM WebSphere Application Server Extended Deployment Compute Grid V8.0.0.0 - V8.0.0.3
IBM WebSphere Application Server Extended Deployment Compute Grid V6.1.0.0 - V6.1.1.6
【対応策】
WebSphere Application Server における脆弱性(CVE-2014-0114)への対応方法は、以下の通りとなります。
1. 各バージョンのFix PackまたはPTFを適用してください。
PI17190 WAS管理コンソール
PI17420 WebSphere Compute Grid のジョブ管理コンソール用
・IBM WebSphere Application Server V7.0.0.0 - V7.0.0.31
・個別修正モジュール APAR PI17190 を適用
※FixPackレベル毎にモジュールが用意されておりますので、合致するレベルのものをダウンロードして適用してください。
・FixPack 33 以降 へのアップデート
※Fix Pack 7.0.0.33は、2014年06月23日リリース予定です。(2014/05/27 時点)
・IBM WebSphere Application Server V6.1.0.0 - V6.1.0.47
・個別修正モジュール APAR PI17190 の適用
※FixPackレベル毎にモジュールが用意されておりますので、合致するレベルのものをダウンロードして適用してください。
・Modern Batch Feature Pack V1.0.0.0 - 1.0.0.5
個別修正モジュールは公開されていません。
サポートをお持ちの場合は、お問い合わせください。
・IBM WebSphere Application Server Extended Deployment Compute Grid V8.0.0.0 - V8.0.0.3
・V6.1.0.31以降にバージョン・アップし、個別修正モジュール APAR PI17420 を適用
または
・Compute Grid Fix Pack 8.0.0.4以降へのアップデート
※Fix Pack 8.0.0.4 は、2014年06月23日リリース予定です。(2014/05/27 時点)
・IBM WebSphere Application Server Extended Deployment Compute Grid V6.1.0.0 - V6.1.1.6
個別修正モジュールは公開されていません。
サポートをお持ちの場合は、お問い合わせください。
2. 併せて、管理セキュリティーを有効にし管理コンソールを操作できるユーザーを限定する、ファイヤーウォールで管理コンソールへのアクセスを制限するなどの対応をお勧めします。
※z/OSをお使いのお客様は、 System z Security Portal に登録することをお勧めします。
System z Security Portal では、セキュリティーやインテグリティーに関連するAPAR情報を掲載しています。
セキュリティーやインテグリティーに関する問題の影響を最小限に抑えるためにも、CVSSの値を比較いただくことで、すべてのセキュリティーやインテグリティーに関するAPARを適用いただくことをお勧めします。
【関連情報】
- CVE:CVE-2014-0114
- NIST:CVE-2014-0114
- IPA:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113)
- Fix リスト
z/OSの場合: APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS
以上
[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Not Applicable","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"","label":"i5\/OS"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF017","label":"Mac OS"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"8.5;8.0;7.0;6.1","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]
Historical Number
E85CB4406EA2C87D49257CCB002DC872
Product Synonym
対象システム:WebSphere Application Server
Was this topic helpful?
Document Information
Modified date:
25 September 2022
UID
jpn1J1011728