本文へジャンプ

重要セキュリティー情報  >  

Tivoli Policy Director 3.8, IBM Tivoli Access Manager for e-business 3.9, 4.1, 5.1のセッションCookieの脆弱性の問題
2004年5月12日 (5月24日更新)

【現象】

悪意のあるユーザーがセッションCookieの仕組みを利用して、WebSEAL, Plug-in for Web Serverに対するアクセス権限を得ることが可能です。
【対象製品 - 該当コンポーネント】
  • Tivoli Policy Director 3.8 WebSEAL
  • IBM Tivoli Access Manager for e-business 3.9 WebSEAL
  • IBM Tivoli Access Manager for e-business 3.9 Plug-in for Web Server
  • IBM Tivoli Access Manager for e-business 4.1 WebSEAL
  • IBM Tivoli Access Manager for e-business 4.1 Plug-in for Web Server
  • IBM Tivoli Access Manager for e-business 5.1 WebSEAL
  • IBM Tivoli Access Manager for e-business 5.1 Plug-in for Web Server
※ Plug-in for Edge Serverには当脆弱性の影響はありません。
【確認方法】

Policy Director V3.8には、Plug-in for Web Serverはありませんので確認の必要はありません。

Policy Director V3.8, Tivoli Access Manager for e-business V3.9には、Intel Linux版のWebSEAL, Plug-in for Web Serverはありませんので確認の必要はありません。


以下に稼動OS別のWebSEALのバージョンの確認方法を示します。

【AIXの場合】
# lslpp -L | grep PDWeb を実行します。

【Windowsの場合】
regeditコマンドを実行し \HKEY_LOCAL_MACHINE\SOFTWARE\Tivoli\Access Manager WebSEAL\5.1.0.0 を見ます。
(5.1.0.0の部分はバージョンによって異なります。)

【Intel Linuxの場合】
# rpm -qa | grep PDWeb-PD を実行します。

【Solarisの場合】
# showrev -p | grep PDWEB を実行します。


以下に稼動OS別のPlug-in for Web Serverのバージョンの確認方法を示します。

【AIXの場合】
# lslpp -L | grep PD.WPIを実行します。

【Windowsの場合】
regeditコマンドを実行し \HKEY_LOCAL_MACHINE\SOFTWARE\Tivoli\Access Manager Plug-in for Web Servers\5.1.0.0 を見ます。
(5.1.0.0の部分はバージョンによって異なります。)

【Intel Linuxの場合】
# rpm -qa | grep PDWPIを実行します。

【Solarisの場合】
showrev -p | grep PDWPIを実行します。
【対応方法】

各製品に対しての修正プログラムが既に入手可能となっており、Webサイトから入手可能となっております。

今回の問題に対する修正プログラムのリリース後に、当サイトに掲載している「Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性」の問題に対応するより新しい修正プログラムが作成されました。

この「Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性」の問題に対応した修正プログラムを適用することで、この文書で説明しているセッションCookieの脆弱性にも対策されるため、下記リンクにある「Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性」に対する対応策を実施してください。

既に更新前の当文書のガイドに従って修正プログラムを適用されている場合には、当問題に関する脆弱性に関しては対策されておりますが、下記リンクでご説明している「Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性」の問題については下記リンクの対応策を別途行う必要がありますのでご注意ください。

---
Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性
http://www.ibm.com/jp/services/security/secinfo/si-040520a.html

【お問合せ先】

Tivoli製品に関する PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様、但しPolicy Director 3.8はサービスを終了しておりますのでご利用頂けません。)

電話 :0120-557-972
受付時間 :月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)


更新履歴:
  • 5月24日
    より新しい修正パッチの入手が可能になっておりますので、対応方法に関する記述を修正致しました。

上に戻る