<内容/目次>
WebSphere Application Server V5.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。この問題は、不正なExpect Headerを含むリクエストを受けた場合に、発生する可能性があります。
WebSphere Application Server(以下WAS) V5.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
不正なExpect Headerを含むリクエストリクエストを受けた場合、WASはエラーページを表示し、エラーページの中に受信したExpect Headerの値が含まれます。
しかし、このエラーページを表示するときのExpect Headerの処理が適切に行われていなかったため、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
尚、すべてのHTTPリクエストがIBM HTTP Server(以下IHS)経由でWASへ送信される場合には、不正なExpectヘッダーがそのままWASに送信されることはないため、WAS側でこの脆弱性が発生することはありません。しかし、IHS側で同様の脆弱性に該当する可能性があります。 IHSの脆弱性については次のページをご確認ください。
IHSのExpect Header処理におけるクロスサイト・スクリプティングの脆弱性
対象製品:
WebSphere Application Server V5.1 ※1)
対象プラットフォーム:
AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400) ※2)
対象エディション:
すべてのエディション
対象のFixレベル:
WAS V5.1.0.4以上5.1.1.16以下 ※3)
※1) WAS V4.0, V5.0, V6.0, V6.1では、この脆弱性は発生しません。
※2) z/OSプラットフォームでは、この脆弱性は発生しません。
※3) 修正プログラムPK51068を適用している場合は、この脆弱性は発生しません。
【WASのバージョンの確認方法】
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書を参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
修正プログラムPK51068を適用してください。
修正プログラムPK51068は、次のページよりダウンロードしてください。
PK51068; 5.1.1.16: WebContainer response to unrecognized Expect Header
http://www.ibm.com/support/docview.wss?rs=180&uid=swg24017314
この修正プログラムPK51068は、次回提供の累積修正プログラムであるFix Pack 5.1.1.17に含まれる予定です。
WASの最新累積修正プログラムは、次のページをご確認ください。
Recommended fixes for WebSphere Application Server
http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)
Security: Potential Cross Site Scripting vulnerability with IBM WebSphere Application Server V5.1
| 現象 |
WebSphere Application Server(以下WAS) V5.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
不正なExpect Headerを含むリクエストリクエストを受けた場合、WASはエラーページを表示し、エラーページの中に受信したExpect Headerの値が含まれます。
しかし、このエラーページを表示するときのExpect Headerの処理が適切に行われていなかったため、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
尚、すべてのHTTPリクエストがIBM HTTP Server(以下IHS)経由でWASへ送信される場合には、不正なExpectヘッダーがそのままWASに送信されることはないため、WAS側でこの脆弱性が発生することはありません。しかし、IHS側で同様の脆弱性に該当する可能性があります。 IHSの脆弱性については次のページをご確認ください。
IHSのExpect Header処理におけるクロスサイト・スクリプティングの脆弱性
| 対象製品 |
対象製品:
WebSphere Application Server V5.1 ※1)
対象プラットフォーム:
AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400) ※2)
対象エディション:
すべてのエディション
対象のFixレベル:
WAS V5.1.0.4以上5.1.1.16以下 ※3)
※1) WAS V4.0, V5.0, V6.0, V6.1では、この脆弱性は発生しません。
※2) z/OSプラットフォームでは、この脆弱性は発生しません。
※3) 修正プログラムPK51068を適用している場合は、この脆弱性は発生しません。
| 確認方法 |
【WASのバージョンの確認方法】
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書を参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
| 対応方法 |
修正プログラムPK51068を適用してください。
修正プログラムPK51068は、次のページよりダウンロードしてください。
PK51068; 5.1.1.16: WebContainer response to unrecognized Expect Header
http://www.ibm.com/support/docview.wss?rs=180&uid=swg24017314
この修正プログラムPK51068は、次回提供の累積修正プログラムであるFix Pack 5.1.1.17に含まれる予定です。
WASの最新累積修正プログラムは、次のページをご確認ください。
Recommended fixes for WebSphere Application Server
http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980
| お問合せ先 |
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)
| 参考情報(情報源) |
Security: Potential Cross Site Scripting vulnerability with IBM WebSphere Application Server V5.1
<添付資料>
<文書情報>
製品/カテゴリー名
WebSphere Application Server
有効期限
2015年08月13日
発表日
資料番号