Flashes (Alerts)
Abstract
Java API文書がフレームインジェクションの脆弱性を持っています。
Content
当セキュリティー情報は CVE-2013-1571で公開されたセキュリティー脆弱性に対するWebSphere Application Server での修正についてお知らせするものです。CVE-2013-1571の詳細は【関連情報】をご参照ください。最新情報はオリジナルの技術文書(英文)をご参照ください。
http://www.ibm.com/support/docview.wss?uid=swg21641387
CVEID: CVE-2013-1571
DESCRIPTION: Javadocツールで作成されたHTML文書にセキュリティの脆弱性が含まれます。この脆弱性によってHTMLのメインのフレーム内にアタッカーに悪意のあるリンクを作成・挿入される恐れがあります。
挿入されてしまったコンテンツは一見サイト内の情報に見えますが、実際は悪意のあるリンクやコンテンツとして組み込まれてしまいます。
この種のアタックは"クリックジャック"とも呼ばれます。
アタックには認証は不要でHTMLページがネットワーク上にあれば遠隔から悪用できてしまいます、しかし実行するには特別な知識と技術が必要です。この悪用でシステム内にある機密情報を盗まれたり、システムの稼動に影響を与えることはありませんが、サイト内の情報の信用に関わる問題となります。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/84715 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N
【対象ソフトウェア】
対象OS:
- 分散系プラットフォーム (AIX、Linux、Windows、Solaris、HP-UX、IBM i)
- z/OS
- IBM WebSphere Application Server V8.5.0.0-V8.5.5.0
- IBM WebSphere Application Server V8.0.0.0-V8.0.0.6
- IBM WebSphere Application Server V7.0.0.0-V7.0.0.29
- IBM WebSphere Application Server V6.1.0.0-V6.1.0.45
【回避策】
なし
【対応策】
Java API文書を外部公開しているユーザーは Oracle社提供の Java API Documentation Updater Tool を用いて修正することが強く推奨されています。
すべてのJavaユーザーはこのツールをこちらから入手できます。
http://www.oracle.com/technetwork/java/javase/downloads/
また、IBM WebSphere Application Serverでは下記のFix Packで JavaDoc ツールへの更新を含めており、IBM WebSphere Application Serverに同梱のJava API 文書を更新します。
各バージョンのFix PackまたはPTFを適用してください。
※下記Fix PackによってCVE-2013-1571の脆弱性の問題を解消したJava API文書を作成することが出来るようになりますが、Fix Packを適用しても適用前に作成されている文書の脆弱性を直すことは出来ません。適用前に作成された文書の修正には上記のOracleのJava API Documentation Updater Toolでの修正が必要です。
バージョン | 対応策 |
V8.5.0.0~V8.5.5.0 |
|
V8.0.0.0~V8.0.0.6 |
|
V7.0.0.0~V7.0.0.29 |
|
V6.1.0.0~V6.1.0.45 |
|
【関連情報】
- Complete CVSS Guide
- On-line Calculator V2
- CVE-2013-1571 https://exchange.xforce.ibmcloud.com/vulnerabilities/84715
- Fix リスト
- 分散系プラットフォーム(AIX、Linux、Windows、Solaris、HP-UX)の場合:Recommended fixes for WebSphere Application Server.
- z/OSの場合:APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS.
2013/10/01 対応先の適用v8.0 FPバージョンをFP8からFP7に変更
Was this topic helpful?
Document Information
Modified date:
25 September 2022
UID
swg21642279