<内容/目次>
WASV4.0/V5.0/V5.1/V6.0/V6.1上のJSPに対して、細工を施したリクエストを送付することで、JSPファイルのソースコードが返される可能性があります。
WebSphere Application Server ( 以下 WAS ) V4.0 / V5.0 / V5.1/ V6.0 / V6.1 に、JSPのソースコードがクライアントに表示される問題があることが報告されました。
この問題により、WAS V4.0 / V5.0 / V5.1/ V6.0 / V6.1上のJSPに対して、URLに細工を施したリクエストを送付することで、JSPの実行結果(HTML)ではなく、JSPファイルのソースコードがクライアント上に表示される可能性があります。
当問題につきましては2006年2月および8月に同様の不具合についてご案内していますが、その後新たな発生条件が確認されたため、お手数ですが対象バージョン、リリース、プラットフォームにつき、再度ご確認いただきます様よろしくお願いいたします。
以下の条件を全て満たしている場合に、URLに細工を施したリクエストを送付した場合、JSPのソースコードがクライアントに表示されてしまう可能性があります。
1. 問題発生対象レベルのWASを使用している。
2. WebアプリケーションでJSPを使用している。
3. Webアプリケーションでファイルサービスを利用している。(WASにデプロイしたWebアプリケーションにHTMLや画像などの静的コンテンツが含まれている)
WASのファイルサービスについてはこちらの文書をご参照ください。
【FAQ】 WASのファイルサービスとは?使っているかどうかの確認方法は?
JSPのソースコードにDBへの接続やスキーマ名等、システム内部の情報が記載されている場合は、それらがリモートユーザーに参照されてしまう可能性があります。
クライアントでどのように表示されるかは、ブラウザやJSPファイルによって異なります。
IEでは、「ソースの表示」を実行するとソースコードが表示されます。
また、Firefoxでは、ブラウザの画面にソースコードが表示されます。
対象プラットフォーム: Windows, AIX, Linux, Solaris, HP-UX
WAS for z/OS の情報についてはこちらをご確認ください
WAS for i5/OSの情報についてはこちらをご確認ください
対象エディション: 全てのエディション
対象バージョン: V4.0, V5.0, V5.1, V6.0, V6.1
修正プログラム適用による詳細バージョンごとの情報については、【解決策】をご参照ください。
今回公開している問題発生対象レベルおよび解決策に関しては、前回公開した内容を全て含みます。再度過去の内容を参照する必要はございません。
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書をご参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書をご参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
【回避策】
回避策については、ファイルサービスを停止する方法がありますが、アプリケーションの修正と再起動が必要となります。この回避策が適用できるかどうかを十分に検討の上、ご利用ください。基本的には、解決策となる修正プログラムの適用をお勧めします。
ファイルサービスの停止方法についてはこちらの文書をご参照ください。
【WAS-FAQ】 WASのファイルサービスを停止する方法
以下のバージョン、プラットフォームごとの解決策をご参照ください。Servlet Caching、および、Extended Document Rootの使用の有無によって解決策が異なります。
指定の修正プログラム、または修正プログラムの集合である累積修正プログラムを適用してください。
Servlet Cachingについてはこちらの文書をご参照ください。この機能はデフォルトでは使用されていません。
【FAQ】 WASのServlet Caching (DynaCache) とは?
Extended Document Rootについてはこちらの文書をご参照ください。この機能は通常は使用されていません。
【FAQ】 WASのExtended Document Rootとは?
Fixの適用方法については、こちらの文書をご参照ください。
【FAQ】 WAS V6でのFix適用ガイド
【FAQ】 WAS V5でのFix適用ガイド
【FAQ】 WAS V4でのFix適用ガイド
Possible security exposure with JavaServer Page (JSP) and IBM WebSphere Application Server (英語)
該当する製品のリンク先をご覧下さい。
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様。V4に関しては、延長保守契約をお持ちのお客様。)
電話 :0120-557-971
受付時間 :月~金 9:00~17:00(祝日、12/30~1/3を除く)
| 現象 |
WebSphere Application Server ( 以下 WAS ) V4.0 / V5.0 / V5.1/ V6.0 / V6.1 に、JSPのソースコードがクライアントに表示される問題があることが報告されました。
この問題により、WAS V4.0 / V5.0 / V5.1/ V6.0 / V6.1上のJSPに対して、URLに細工を施したリクエストを送付することで、JSPの実行結果(HTML)ではなく、JSPファイルのソースコードがクライアント上に表示される可能性があります。
当問題につきましては2006年2月および8月に同様の不具合についてご案内していますが、その後新たな発生条件が確認されたため、お手数ですが対象バージョン、リリース、プラットフォームにつき、再度ご確認いただきます様よろしくお願いいたします。
| 発生条件 |
以下の条件を全て満たしている場合に、URLに細工を施したリクエストを送付した場合、JSPのソースコードがクライアントに表示されてしまう可能性があります。
1. 問題発生対象レベルのWASを使用している。
2. WebアプリケーションでJSPを使用している。
3. Webアプリケーションでファイルサービスを利用している。(WASにデプロイしたWebアプリケーションにHTMLや画像などの静的コンテンツが含まれている)
WASのファイルサービスについてはこちらの文書をご参照ください。
【FAQ】 WASのファイルサービスとは?使っているかどうかの確認方法は?
| 影響範囲 |
JSPのソースコードにDBへの接続やスキーマ名等、システム内部の情報が記載されている場合は、それらがリモートユーザーに参照されてしまう可能性があります。
クライアントでどのように表示されるかは、ブラウザやJSPファイルによって異なります。
IEでは、「ソースの表示」を実行するとソースコードが表示されます。
また、Firefoxでは、ブラウザの画面にソースコードが表示されます。
| 対象製品 |
対象プラットフォーム: Windows, AIX, Linux, Solaris, HP-UX
WAS for z/OS の情報についてはこちらをご確認ください
WAS for i5/OSの情報についてはこちらをご確認ください
対象エディション: 全てのエディション
対象バージョン: V4.0, V5.0, V5.1, V6.0, V6.1
修正プログラム適用による詳細バージョンごとの情報については、【解決策】をご参照ください。
今回公開している問題発生対象レベルおよび解決策に関しては、前回公開した内容を全て含みます。再度過去の内容を参照する必要はございません。
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書をご参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
| 確認方法 |
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書をご参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法
| 回避策 |
【回避策】
回避策については、ファイルサービスを停止する方法がありますが、アプリケーションの修正と再起動が必要となります。この回避策が適用できるかどうかを十分に検討の上、ご利用ください。基本的には、解決策となる修正プログラムの適用をお勧めします。
ファイルサービスの停止方法についてはこちらの文書をご参照ください。
【WAS-FAQ】 WASのファイルサービスを停止する方法
| 解決策 |
以下のバージョン、プラットフォームごとの解決策をご参照ください。Servlet Caching、および、Extended Document Rootの使用の有無によって解決策が異なります。
指定の修正プログラム、または修正プログラムの集合である累積修正プログラムを適用してください。
Servlet Cachingについてはこちらの文書をご参照ください。この機能はデフォルトでは使用されていません。
【FAQ】 WASのServlet Caching (DynaCache) とは?
Extended Document Rootについてはこちらの文書をご参照ください。この機能は通常は使用されていません。
【FAQ】 WASのExtended Document Rootとは?
Fixの適用方法については、こちらの文書をご参照ください。
【FAQ】 WAS V6でのFix適用ガイド
【FAQ】 WAS V5でのFix適用ガイド
【FAQ】 WAS V4でのFix適用ガイド
| 参考情報 |
Possible security exposure with JavaServer Page (JSP) and IBM WebSphere Application Server (英語)
http://www.ibm.com/support/docview.wss?uid=swg21243541
| 他製品への影響、対応について |
該当する製品のリンク先をご覧下さい。
- WebSphere Portal/Workplace (IBMソフトウェア・サポート)
- WebSphere Commerce (IBMソフトウェア・サポート)
- WebSphere Information Integrator OmniFind (IBMソフトウェア・サポート)
- Tivoli セキュリティー製品 (IBMソフトウェア・サポート)
| お問合せ先 |
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様。V4に関しては、延長保守契約をお持ちのお客様。)
電話 :0120-557-971
受付時間 :月~金 9:00~17:00(祝日、12/30~1/3を除く)
<添付資料>
<文書情報>
製品/カテゴリー名
WebSphere Application Server
有効期限
2015年08月14日
発表日
資料番号