内容/目次
|
更新ログ |
(2009/04/30 17:32) 件名を修正しました。PK83788のテクニカルフラッシュのリンク先を追記しました。
(2009/06/29 10:06) 分散プラットフォームに対して、V5.1の各レベルでの修正モジュールが提供されたことに伴い、"解決策"の表を更新しました。
(2009/07/06 23:01) 「・修正モジュール適用時にご注意いただきたい点」以降を削除
(2009/07/13 20:14) 8.解決策: - z/OSの場合を修正しました。
 |
内容について確認が必要な場合は、IBMサービス・ラインにお問い合わせ下さい。
【1. 対象のお客様:】
WebSphere Application Server( 以下 WAS ) V5.1, 6.0, 6.1および V7.0をお使いのお客様
WebSphere Enterprise Service Bus( 以下 WESB ) V6.0, V6.1, V6.2をお使いのお客様
WebSphere Commerce( 以下 WC ) V5.6.1, V6.0をお使いのお客様
※WebSphere Portal Family製品に対する影響、対応策についても外部サイトに公開されています。
詳細は下記【9.参考情報】に掲載しているリンクをご参照ください。
【2. 対象ソフトウェア:】
対象プラットフォーム :AIX 、 HP-UX 、 Linux 、 Solaris 、 Windows、 i5/OS、 z/OS
対象エディション :全てのエディション
WAS V5.1 ~ 5.1.1.19
WAS V6.0 ~ 6.0.2.33
WAS V6.1 ~ 6.1.0.22
WAS V7.0 ~ 7.0.0.1
対象プラットフォーム :AIX 、 HP-UX 、 Linux 、 Solaris 、 Windows、 i5/OS、 z/OS
WESB V6.0.1 ~ 6.0.1.6
WESB V6.0.2 ~ 6.0.2.5
WESB V6.1 ~ 6.1.2.2
WESB V6.2.0
対象プラットフォーム :AIX 、 Linux 、 Solaris 、 Windows、 i5/OS
対象エディション :Enterprise
WC V6.0
対象プラットフォーム :Linux 、Windows、 i5/OS
対象エディション :Express
WC V5.6.1
WC V6.0
対象プラットフォーム :AIX 、 Linux 、 Solaris 、 Windows、 i5/OS
対象エディション :Business Edition
WC V5.6.1
Webベース・アプリケーション(Webサービス・アプリケーションを含む)がWAS上で稼動している場合、warモジュールに含まれるファイル(一時ファイルを含む)をリモートから閲覧されたり実行されたりする可能性があります。
このアプリケーションには、セキュリティーが無効の状態のWASの管理コンソールも含まれます。
【4. 原因:】
セキュリティーの脆弱性問題であるため詳細は公開されません。
【5. 発生条件:】
アプリケーションに対して閲覧を目的とした特別なリクエストを受け取った場合。
【6. 確認方法:】
該当する修正レベルであるかをご確認ください。
【7. 回避策:】
回避策はありません。
【8. 解決策:】
PK81387 の修正プログラムは、下記サイトから入手いただけます。 お使いのWASのレベル、OSによって対応方法が異なりますので、下表の解決策をご確認ください。
修正モジュールPK81387は暫定修正(個別修正)であり、それが含まれる累積修正がリリースされるまでの一時的なものになります。
そのため、解決策としては累積修正の適用をご検討頂けますようお願い致します。
【分散プラットフォーム(AIX, HP-UX, Solaris, Windows, Linux) の場合】
【i5/OSの場合】
【z/OSの場合】
■V7.0からV7.0.0.1までの場合
Fix Pack V7.0.0.3(もしくはそれ以降)を適用してください。PK81387の修正策はV7.0.0.3のPTF群の内、UK45120(APAR PK81944)に含まれます。
■V6.1からV6.1.0.22までの場合
Fix Pack V6.1.0.23(もしくはそれ以降)を適用してください。PK81387の修正策はV6.1.0.23のPTF群の内、UK44450(APAR PK81212)に含まれます。
■V6.0からV6.0.2.33までの場合
Fix Pack V6.0.2.34(もしくはそれ以降)を適用したください。PK81387の修正策はV6.0.2.34のPTF群の内、UK45080(APAR PK82244)に含まれます。
■V5.1からW510247までの場合
W510247に適用可能な修正プログラムPK81387 がリクエストに応じて利用可能です。
V5.1は2008年9月末をもってEOS(end of service)となっております。
- 追加のご支援が必要な場合には、延長契約のご締結が必要になりますのでご留意ください。
なお、V5.1をバンドルしている製品がEOSでない場合には、延長契約は必要はありません。
バンドル製品が該当するかどうかは、バンドルしている各製品サポートへご確認ください。
- z/OS版のAPAR/PTF/Fix Packの対応表は以下をご覧ください
APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS
【9. 参考情報:】
・「WAS上で稼動するWebモジュールに含まれるファイルが閲覧される可能性」におけるiFix/FixPack適用の注意
・【障害情報】PK83788:WAS7.0.0.3/6.1.0.23のWebサーバ・プラグインに含まれるPK71492によるセッション・データ消失の可能性
・バージョン確認方法 (V6.1、 V7.0 も同様です )
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
・Potential risk when using Web based applications on WebSphere Application Server (PK81387)
・PK81387; 7.0.0.1: Possible application source file exposure
・Fix Available: Possible risk when using Web based applications on WebSphere Application Server (WebSphere Portal Family)
・Potential security risk for WebSphere Process Server and WebSphere Enterprise Service Bus applications: PK81387
・Potential Security Risk for WebSphere Commerce: PK81387
・最新のFix Pack (for AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400))
【Recommended fixes for WebSphere Application Server】
・最新のFix Pack(for i5/OS (OS/400))
【WebSphere Application Server for i5/OS - PTFs】
・最新のFix Pack(for z/OS(OS/390))
【APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS】
・IBMサービス・ライン
以上
添付資料
文書情報
有効期限: 2013年9月9日
資料番号: WAS-09-015
