本文へジャンプ

(参考)XML Access の脆弱性の問題について(APAR PK67104)

問題 (Problem)

WebSphere Portal (WP)、Lotus (Workplace) Web Content Management および Lotus Quickr services for WebSphere Portal の XmlAccess コンポーネントで、重大な脆弱性の問題が報告されました。

ある特定の環境下で、リモートの攻撃者がネットワークを経由して、通常の WebSphere Portal のセキュリティをバイパスしてしまう可能性があります。この攻撃により、侵入者が管理コマンドを正規の権限なしに実行できてしまう可能性があります。この問題は、National Australia Bank の Security Assurance チームにより報告されました。

解決策 (Solution)


この問題は WebSphere Portal 6.0.1 Fix Pack 4 (6.0.1.4) で修正されました。

下記のバージョンをご利用のお客様は、APAR PK67104 を適用してください。

※ 以下は WebSphere Portal のバージョンになります。Lotus (Workplace) Web Content Management や Lotus Quickr をご利用の場合は、それらのベースとなっている WebSphere Portal のバージョンをご確認ください。

  • WebSphere Portal 6.1.0.0
  • WebSphere Portal 6.0.0.0, 6.0.0.1, 6.0.1.0, 6.0.1.1, 6.0.1.3
  • WebSphere Portal 5.1.0.2, 5.1.0.3, 5.1.0.4, 5.1.0.5

使用している WebSphere Portal のバージョンは、以下の方法で確認できます。

WebSphere Portal (5.1.x / 6.x) および Lotus (Workplace) Web Content Management(5.1.x / 6.x)の場合:
  • Unix系
    <WP 導入ディレクトリ>/bin/WPVersionInfo.sh
  • Windows
    <WP 導入ディレクトリ>/bin/ WPVersionInfo.bat

Lotus Quickr 8.x の場合:
  • Windows
    <Quickr 導入ディレクトリ>/bin/ WPVersionInfo.bat

上記コマンドを実行し、結果をご確認ください。

補足情報 (Supporting Information)

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承くださいますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」 をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2
CVSS Base Score: < 9.0 >
Impact Subscore: < 9.5 >
Exploitability Subscore: < 8.6 >
CVSS Temporal Score: < 7.0 >
CVSS Environmental Score: < Undefined* >
Overall CVSS Score: < 7.0 >
Base Score Metrics:
  • Related exploit range/Attack Vector: < Network >
  • Access Complexity: < Medium >
  • Authentication < None >
  • Confidentiality Impact: < Partial >
  • Integrity Impact: < Complete >
  • Availability Impact: < Complete >
Temporal Score Metrics:
  • Exploitability: < Proof of Concept Code >
  • Remediation Level: < Official Fix >
  • Report Confidence: < Confirmed >
References:
Complete CVSS Guide
共通脆弱性評価システム CVSS V2 概説
脆弱性の深刻度評価の新バージョンCVSS v2への移行について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。

関連文書 (Related Document)

(英文)「Fix Available: Security vulnerability in XML Access (versions 6.0, 6.1)」(Technote #1318491)
(英文)「Fix Available: Security vulnerability in XML Access (versions 5.1)」(Technote #1318500)
(英文)「Required fix for Lotus Quickr services for Portal to address XML Access vulnerability」(Technote #1367105)
「(参考)Lotus Expeditor 6.1、6.2 に関連する XML Access の脆弱性の問題について」(Technote #732326)

----- 更新履歴 -----
2008/09/16 初公開
2008/10/02 WCM の記載と、バージョンの確認方法を追加
2009/03/04 関連文書 #1367105 と #732326 の追加



掲載内容は2009年3月4日現在の情報です。内容は事前の予告なく変更することがあります。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。
他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。
現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。

上へ戻る

 
Lotus software

文書情報

プロダクト・ファミリー
WebSphere Portal

プロダクト・カテゴリー
Security

オペレーティングシステム

ソフトウェア・バージョン
6.1.x; 6.0.x; 5.1.x

文書番号
732074

最終更新日
2009年03月04 日