Security Bulletin
Summary
WebSphere Application Server traditional と WebSphere Application Server Libertyが使用する Apache Commons FileUploadには潜在的な脆弱性が存在します。
Vulnerability Details
最新の情報については、下記URLの文書(英語)をご参照ください。
Security vulnerability in Apache Commons FileUpload used by WebSphere Application Server (CVE-2016-1000031)
http://www.ibm.com/support/docview.wss?uid=swg22011428
CVEID: CVE-2016-1000031 DESCRIPTION: Apache Commons FileUploadは、いくつかの製品で使用されているように、FileUploadライブラリのDiskFileItemクラスで、信頼できないデータの逆シリアル化により、悪意のあるユーザーがシステム上で任意のコードを実行する可能性があります。悪意のあるユーザーはこの脆弱性を利用して、現在のプロセスのコンテキストで任意のコードを実行する可能性があります。 CVSS Base Score: 9.8 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/117957 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) |
Affected Products and Versions
IBM WebSphere Application Serverの以下のバージョン、およびリリースにおいて影響を受けます。
- Liberty
- Version 9.0
- Version 8.5
- Version 8.0
Remediation/Fixes
各個別修正 、それらを含むFix Pack、またはAPAR PI90804またはPI94763を含むPTFを、それぞれ指定された製品ごとに可能な限り早く適用してください。
注:WebSphere Application Server Liberty用のPI90804に問題が報告されています。サーブレット要求中にgetHeader()呼び出しにアクセスすると、NullPointerExceptionが発生する可能性があります。 LibertyのPI90804の個別修正を既にダウンロード・適用している場合は、PI94763の新しい個別修正で置き換えて適用をお願いします。
WebSphere Application Server Liberty:
バージョン | 対応策 |
V9.0.0.0 - V17.0.0.4 |
|
WebSphere Application Server traditional および WebSphere Application Server Hypervisor Edition:
バージョン | 対応策 |
V9.0.0.0 - V9.0.0.6 |
|
V8.5.0.0 - V8.5.5.12 |
|
V8.0.0.0 - V8.0.0.14 |
|
Workarounds and Mitigations
回避策はございません。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
Change History
【変更履歴】
2018/01/30 初版発行
2018/03/26 Liberty 個別修正 PI94763 追記
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg22013012