IBM Support

【セキュリティ情報】 IBM WebSphere Application Serverにおける Apache Commons FileUploadの脆弱性の影響について (CVE-2016-1000031)

Security Bulletin


Summary

WebSphere Application Server traditional と WebSphere Application Server Libertyが使用する Apache Commons FileUploadには潜在的な脆弱性が存在します。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security vulnerability in Apache Commons FileUpload used by WebSphere Application Server (CVE-2016-1000031)

http://www.ibm.com/support/docview.wss?uid=swg22011428



CVEID: CVE-2016-1000031
DESCRIPTION:
Apache Commons FileUploadは、いくつかの製品で使用されているように、FileUploadライブラリのDiskFileItemクラスで、信頼できないデータの逆シリアル化により、悪意のあるユーザーがシステム上で任意のコードを実行する可能性があります。悪意のあるユーザーはこの脆弱性を利用して、現在のプロセスのコンテキストで任意のコードを実行する可能性があります。
CVSS Base Score: 9.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/117957 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Affected Products and Versions

IBM WebSphere Application Serverの以下のバージョン、およびリリースにおいて影響を受けます。

  • Liberty
  • Version 9.0
  • Version 8.5
  • Version 8.0

Remediation/Fixes

各個別修正 、それらを含むFix Pack、またはAPAR PI90804またはPI94763を含むPTFを、それぞれ指定された製品ごとに可能な限り早く適用してください。

注:WebSphere Application Server Liberty用のPI90804に問題が報告されています。サーブレット要求中にgetHeader()呼び出しにアクセスすると、NullPointerExceptionが発生する可能性があります。 LibertyのPI90804の個別修正を既にダウンロード・適用している場合は、PI94763の新しい個別修正で置き換えて適用をお願いします。

WebSphere Application Server Liberty:

バージョン対応策
V9.0.0.0 - V17.0.0.4
  • 個別修正で必要とされる最小Fix Packにアップグレードし、個別修正モジュール APAR PI94763 を適用します。
    --または--
  • Liberty Fix Pack 18.0.0.1 以降を適用します。

WebSphere Application Server traditional および WebSphere Application Server Hypervisor Edition:
バージョン対応策
V9.0.0.0 - V9.0.0.6
  • 個別修正で必要とされる最小Fix Packにアップグレードし、個別修正モジュール APAR PI90804 を適用します。
    --または--
  • Fix Pack 9.0.0.7 以降を適用します。
V8.5.0.0 - V8.5.5.12
  • 個別修正で必要とされる最小Fix Packにアップグレードし、個別修正モジュール APAR PI90804 を適用します。
    --または--
  • Fix Pack 8.5.5.13 以降を適用します。
V8.0.0.0 - V8.0.0.14
  • 個別修正で必要とされる最小Fix Packにアップグレードし、個別修正モジュール APAR PI90804 を適用します。
    --または--
  • Fix Pack 8.0.0.15 以降を適用します。(2018年4月30日にリリース予定(3/22時点)

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Change History

【変更履歴】
2018/01/30 初版発行
2018/03/26 Liberty 個別修正 PI94763 追記

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"General","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0","Edition":"Advanced;Base;Enterprise;Liberty;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}},{"Product":{"code":"SSD28V","label":"WebSphere Application Server Liberty Core"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22013012

Page Feedback