本文へジャンプ

重要セキュリティー情報 > 

WAS V5.0/5.1/6.0でJSPのソースコードがブラウザに表示されてしまう脆弱性

この問題に関する最新情報はこちらをご覧ください

WAS V4.0/V5.0/V5.1/V6.0/V6.1で、JSPのソースコードがブラウザーに表示されてしまう脆弱性

概要

公開日: 2005年2月14日
更新日: 2007年3月28日、更新概要は更新履歴を参照してください。

WAS V5.0/5.1/6.0上のJSPに対して、細工を施したリクエストを送付することで、JSPファイルのソースコードが返される可能性があります。

現象

WAS V5.0/5.1/6.0 上のJSPに対して、細工を施したURLリクエストを送付することで、JSPファイルのソースコードがクライアント上に表示されることがあります。

影響範囲: JSPのソースコードにDBへの接続に関する情報やスキーマ名が記載されている場合は、それらがリモートユーザーに参照されてしまう可能性があります。

対象製品

対象プラットフォーム:AIX、Linux、Windows、Solaris、HP-UX
対象エディション:Express、Base、Network Deployment

対象バージョン: 以下のレベルのWAS
WAS V6.0.0.1 (WAS V6.0の製品出荷バージョンは6.0.0.1です。)
WAS V5.1.1.0〜5.1.1.2
WAS V5.1.0.2〜5.1.0.5
WAS V5.0.2.5〜5.0.2.9

上記のバージョンに該当しない場合も、下記のバージョンをご使用のときは、類似の脆弱性に該当しますので、ご注意ください。類似の脆弱性への対応方法等の詳細は「WAS V5.0.2/5.1.1でJSPのソースコードがブラウザに表示されてしまう脆弱性」を参照ください。

対象プラットフォーム:AIX、Linux、Windows、Solaris、HP-UX
対象エディション:Express、Base、Network Deployment
対象バージョン: 以下のレベルのWAS
WAS V5.1.1.4〜5.1.1.9
WAS V5.0.2.10〜5.0.2.15
WAS V5.0.2.8に PQ96955 を適用した環境

注意: 上記より低いレベルでも、修正プログラムの適用状況により本不具合に該当する場合があります。確認が必要な場合はPAテクニカルサポートへお問い合わせください。

確認方法

WebSphere Application Serverのバージョン確認方法

  1. 管理コンソールを起動します。
  2. ログインした最初の画面で、右上の「WebSphere Application Serverについて」の欄を確認します。

対応方法

※累積の修正プログラムを利用する方法と、個別の修正プログラムのみを利用する方法の2種類の方法がガイドされている箇所があります。
累積の修正プログラムを利用する方法がもっとも推奨される方法ですが、適用した事による影響が大きいと判断される場合には、個別修正プログラムの適用をご検討ください。

【WAS V5.0.2.5〜V5.0.2.9をお使いのお客様】
方法1.  V5.0.2.15 + PK13792を適用してください。
以下のサイトから WAS V5.0.2.15と修正プログラム PK13792※1の両方を入手し、適用してください。修正プログラムの適用方法は、以下のサイトの「Installation Instructions」にあるReadmeをご覧ください。
WAS V5.0.2.15
http://www.ibm.com/support/docview.wss?rs=180&uid=swg24011374
PK13792
http://www.ibm.com/support/docview.wss?uid=swg24011631

※1  PK13792は、WAS V5.0.2.16 に含まれる予定です。

必ずしもV5.0.2.15の修正プログラムの適用が必要ではなく、V5.0.2.10以上 + PK13792により対応可能です。
方法2.  PQ99537を適用してください。
以下のサイトから修正プログラムPQ99537を入手し、適用してください。
PQ99537
http://www.ibm.com/support/docview.wss?uid=swg24008814

【WAS V5.1.0.2〜V5.1.0.5またはWAS V5.1.1〜V5.1.1.2をお使いのお客様】
方法1.  V5.1.1.9 + PK20181を適用してください。
以下のサイトから WAS V5.1.1.9と修正プログラムPK20181※2の両方を入手し、適用してください。
WAS V5.1.1.9
http://www.ibm.com/support/docview.wss?uid=swg24011574
PK20181
http://www.ibm.com/support/docview.wss?uid=swg24011720

※2  PK20181は、WAS V5.1.1.10 に含まれる予定です。
方法2.  PQ99537を適用してください。
以下のサイトから PQ99537 を入手し、適用してください。
(WAS5.1.1に適用可能な単体修正プログラムPQ99537は現在ありません。対応方法についてはお問合せ先へご連絡ください)
Interim Fix PQ99537
http://www.ibm.com/support/docview.wss?uid=swg24008814

【WAS V6.0.0.1をお使いのお客様】
方法1.  V6.0.0.2以上を適用してください。
以下のサイトからWAS V6.0の最新の修正プログラムが入手可能です。
http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980#ver60
方法2.  PK00091を適用してください。
以下のサイトから修正プログラムPK00091※3を入手し、適用してください。
PK00091
http://www.ibm.com/support/docview.wss?uid=swg24008815

※3  PK00091は、WAS V6.0.0.2、WAS V6.0.1 に含まれます。

お問合せ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)


更新履歴: (2007年3月28日)最新情報へのリンクを更新しました。(2006年8月10日)より新しい総合的な情報を公開したため、この情報は一覧表から削除されました。(2006年4月13日)WAS5.1.1の場合の対応方法を修正しました。(2006年3月20日)WAS V6.0の製品出荷バージョンは、6.0.0.1のため、該当バージョンから6.0.0.0を削除しました。(2006年3月9日)対象製品をWindows環境のみから、UNIX、Linux環境を含めたものとしました。対応時に類似の脆弱性に該当しないよう対応方法を修正しました。WAS V5.1.1.3は、この脆弱性に該当しないことが確認されましたので、対象バージョンから削除しました。

上に戻る