 |
重要セキュリティー情報 >
WAS5.1.xで、認証無しでセキュアなWebアプリケーションにアクセスできてしまう脆弱性
|
|
|
|
WASのグローバルセキュリティ−機能を使用していても認証処理無しでセキュアなリソースへアクセスできてしまう脆弱性
WebSphere Application Serverのグローバルセキュリティー機能でWebアプリケーションのリソースを保護しているにも関わらず、認証処理が行われないまま(認証ポップアップ無し)セキュアなリソースへアクセスできてしまう可能性があります。これは、修正プログラムPQ93063で加えた変更に起因しています。
また、修正プログラムPQ93063はCumulative Fix3にも含まれるため、Cumulative Fix3を適用したWebSphere Application Server 5.1.1.3にも影響があります。この問題はグローバルセキュリティーを有効にしている環境にのみ影響があります。
以下の製品でグローバルセキュリティー機能を有効にしている場合
WebSphere Application Server 5.1.1.3
WebSphere Application Server 5.1.x + 修正プログラムPQ93063
WebSphere Application Serverのバージョン確認方法:
- 管理コンソールを起動します。
- ログインした最初の画面で、右上の「WebSphere Application Serverについて」の欄を確認します。
修正プログラムの確認方法:
- コマンド・ライン(コマンド・プロンプト)を起動し、"< WebSphere Application Server_ROOT> \bin"ディレクトリへ移動します。
- コマンド versionInfo.sh(Windows環境ではversionInfo.bat)
-fixes を実行して確認します。
以下から修正プログラムPK00776を入手し適用します。
なお、一時的な回避策として、以下の方法があります。
WebSphere Application Server 5.1.1.3環境
Cumulative Fix3のアンインストール
WebSphere Application Server 5.1.xに修正プログラムPQ93063を適用している環境
PQ93063のアンインストール
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)
|
|
|
|
|
