本文へジャンプ

重要セキュリティー情報  >  

IBM HTTP Serverのdenial-of-service攻撃に関する脆弱性
2004年4月9日

不正な形式のSSL通信による攻撃を受けることで、IHSが停止させられる可能性があります。

【現象】

不正な形式のSSL通信による攻撃を受けることで、IBM HTTP Server(IHS)上でSSL通信を管理するGlobal Security Toolkit(GSKit)が停止させられてしまう可能性があります。GSKitが停止させられることにより、Webコンテンツ、Webアプリケーションのサービスが停止する可能性があります。GSKitが停止させられることにより、IHSが停止します。クライアントからのアクセスがIHSを経由して、WebSphere Application Server(WAS)にアクセスしている場合には、結果的にWASにアクセス出来なくなります。すなわちブラウザがIHS上のWebコンテンツ、WAS上で稼動するWebアプリケーションのサービスを利用できなくなる可能性があります。(IHSはWASに同梱されるIBMのWebサーバーです。)
【対象製品】

下記バージョンのIBM HTTP Serverを使用し、GSKitのバージョンが該当する場合
(IHSを同梱するWASおよびWASを同梱するIBMソフトウェア製品が対象となり、WAS3.5.xからWAS5.1までに同梱される全てのIHSが対象となります。)
  • IBM HTTP Server 1.3.12.x (Uses IBM Global Security Toolkit (GSKit) versions prior to 4.0.3.345), released with IBM WebSphere Application Server Version 3.5.x
  • IBM HTTP Server 1.3.19.x (Uses IBM Global Security Toolkit (GSKit) versions prior to 5.0.5.92), released with IBM WebSphere Application Server Version 4.0.x
  • IBM HTTP Server 1.3.26.x on platforms other than Linux for PowerPC (Uses IBM Global Security Toolkit (GSKit) versions prior to 5.0.5.92), released with IBM WebSphere Application Server Version 5.0.x
  • IBM HTTP Server 1.3.26.x on Linux for PowerPC (Uses IBM Global Security Toolkit (GSKit) versions prior to 6.0.6.33), released with IBM WebSphere Application Server Version 5.0.2
  • IBM HTTP Server 1.3.28 (Uses IBM Global Security Toolkit (GSKit) versions prior to 7.0.1.16), released with IBM WebSphere Application Server Version 5.1
  • IBM HTTP Server 2.0.42.x on platforms other than Linux for PowerPC (Uses IBM Global Security Toolkit (GSKit) versions prior to 5.0.5.92), released with IBM WebSphere Application Server Version 4.0.5 and later, IBM WebSphere Application Server Version 5.0.x
  • IBM HTTP Server 2.0.42.x on Linux for PowerPC (Uses IBM Global Security Toolkit (GSKit) versions prior to 6.0.6.33), released with IBM WebSphere Application Server Version 5.0.2
  • IBM HTTP Server 2.0.47 (Uses IBM Global Security Toolkit (GSKit) versions prior to 7.0.1.16), released with IBM WebSphere Application Server Version 5.1
【確認方法】

問題が該当するかどうかGSKitのバージョンを以下の方法で確認して下さい。
  • Windowsの場合

    レジストリエディタを起動([スタート]-[ファイル名を指定して実行]で「regedit」と入力)し、以下のキーのVersionというエントリの値を確認します。

    HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK4\CurrentVersion    HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK5\CurrentVersion    HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK7\CurrentVersion

以下の各OSでは、プロンプトで各コマンドを入力して確認します。

  • AIXの場合

    lslpp -L gskit.rte   
    lslpp -L gskkm.rte
    lslpp -L gskta.rte

  • Linuxの場合

    rpm -qa|grep gsk4   
    rpm -qa|grep gsk5   
    rpm -qa|grep gsk6   
    rpm -qa|grep gsk7

  • Solarisの場合

    pkginfo -l gsk4bas   
    pkginfo -l gsk5bas   
    pkginfo -l gsk7bas

  • HP-UX

    swlist gsk4bas   
    swlist gsk5bas   
    swlist gsk7bas
【対応方法】

IHSのバージョンに応じて、下記のWebサイトよりIHSの修正プログラムをダウンロードし、適用してください。

【IHS 1.3.xの場合】 (英語)
PQ86671:
http://www.ibm.com/support/
docview.wss?rs=177&context=SSEQTJ&uid=swg24006718

【IHS 2.0.xの場合】 (英語)
PQ85834:
http://www.ibm.com/support/
docview.wss?rs=177&context=SSEQTJ&uid=swg24006719

【お問合せ先】

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話 :0120-557-971
受付時間 :月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)

【参考情報】

WebSphere技術情報
http://www-6.ibm.com/jp/domino01/mkt/websphere.nsf/doc/0061DB4C
   
IBM HTTP Serverサポートページ (英語)
http://www-1.ibm.com/support/
docview.wss?rs=177&context=SSEQTJ&uid=swg21165486



上に戻る