IBM Support

【重要情報】 WebSphere Application Server Java API 文書 フレームインジェクションの脆弱性について (CVE-2013-1571)

Flashes (Alerts)


Abstract

Java API文書がフレームインジェクションの脆弱性を持っています。

Content

当セキュリティー情報は CVE-2013-1571で公開されたセキュリティー脆弱性に対するWebSphere Application Server での修正についてお知らせするものです。CVE-2013-1571の詳細は【関連情報】をご参照ください。最新情報はオリジナルの技術文書(英文)をご参照ください。

http://www.ibm.com/support/docview.wss?uid=swg21641387

CVEID: CVE-2013-1571

DESCRIPTION: Javadocツールで作成されたHTML文書にセキュリティの脆弱性が含まれます。この脆弱性によってHTMLのメインのフレーム内にアタッカーに悪意のあるリンクを作成・挿入される恐れがあります。
挿入されてしまったコンテンツは一見サイト内の情報に見えますが、実際は悪意のあるリンクやコンテンツとして組み込まれてしまいます。
この種のアタックは"クリックジャック"とも呼ばれます。

アタックには認証は不要でHTMLページがネットワーク上にあれば遠隔から悪用できてしまいます、しかし実行するには特別な知識と技術が必要です。この悪用でシステム内にある機密情報を盗まれたり、システムの稼動に影響を与えることはありませんが、サイト内の情報の信用に関わる問題となります。


CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/84715 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N


【対象ソフトウェア】
対象OS:

  • 分散系プラットフォーム (AIX、Linux、Windows、Solaris、HP-UX、IBM i)
  • z/OS
対象バージョン:
  • IBM WebSphere Application Server V8.5.0.0-V8.5.5.0
  • IBM WebSphere Application Server V8.0.0.0-V8.0.0.6
  • IBM WebSphere Application Server V7.0.0.0-V7.0.0.29
  • IBM WebSphere Application Server V6.1.0.0-V6.1.0.45


【回避策】

なし


【対応策】

Java API文書を外部公開しているユーザーは Oracle社提供の Java API Documentation Updater Tool を用いて修正することが強く推奨されています。
すべてのJavaユーザーはこのツールをこちらから入手できます。

http://www.oracle.com/technetwork/java/javase/downloads/

また、IBM WebSphere Application Serverでは下記のFix Packで JavaDoc ツールへの更新を含めており、IBM WebSphere Application Serverに同梱のJava API 文書を更新します。

各バージョンのFix PackまたはPTFを適用してください。
※下記Fix PackによってCVE-2013-1571の脆弱性の問題を解消したJava API文書を作成することが出来るようになりますが、Fix Packを適用しても適用前に作成されている文書の脆弱性を直すことは出来ません。適用前に作成された文書の修正には上記のOracleのJava API Documentation Updater Toolでの修正が必要です。

バージョン対応策
V8.5.0.0~V8.5.5.0 ※FixPack 8.5.5.1は、2013年10月下旬リリース予定です。(2013年9月10日現在)
V8.0.0.0~V8.0.0.6
V7.0.0.0~V7.0.0.29 ※FixPack 31(V7.0.0.31)は、2013年12月下旬リリース予定です。(2013年9月10日現在)
V6.1.0.0~V6.1.0.45

【関連情報】
【変更履歴】
2013/10/01 対応先の適用v8.0 FPバージョンをFP8からFP7に変更

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"8.5;8.0;7.0;6.1","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
25 September 2022

UID

swg21642279

Page Feedback