WAS V5.0.2/5.1.1でJSPのソースコードがブラウザに表示されてしまう脆弱性

この問題に関する最新情報はこちらをご覧ください

WAS V4.0/V5.0/V5.1/V6.0/V6.1で、JSPのソースコードがブラウザーに表示されてしまう脆弱性

概要

公開日： 2006年2月27日
更新日： 2007年3月28日、更新概要は更新履歴を参照してください。

WAS V5.0.2/5.1.1 上のJSPに対して、細工を施したリクエストを送付することで、JSPファイルのソースコードが返される可能性があります。

現象

WAS V5.0.2/5.1.1 上の実在するJSPに対して、細工を施したリクエストを送付することで、JSPの実行結果(HTML)ではなく、JSPファイルのソースコードが返される可能性があります。

発生条件：
以下の条件を全て満たしている場合に、JSPのソースコードがクライアントに表示されてしまう可能性があります。

Webアプリケーションでファイル・サービスを利用している。
WebアプリケーションでJSPを使用している。
PQ96955が含まれるレベルのWASを使用している。

影響範囲：
JSPのソースコードにDBへの接続やスキーマ名等、システム内部の情報が記載されている場合は、それらがリモートユーザーに参照されてしまう可能性があります。

対象製品

対象プラットフォーム：AIX、Linux、Windows、Solaris、HP-UX
対象エディション：Express、Base、Network Deployment

対象バージョン：	以下のレベルのWAS
	WAS V5.1.1.4～5.1.1.9
	WAS V5.0.2.10～5.0.2.15
	WAS V5.0.2.8に PQ96955 を適用した環境

※	Solaris、HP-UXをご使用の場合は、WAS V5.1.1.9のときのみ、この脆弱性に該当します。

※	上記のバージョンに該当しない場合も、下記のバージョンをご使用のときは、類似の脆弱性に該当しますので、ご注意ください。類似の脆弱性への対応方法等の詳細は「WAS V5.0/5.1/6.0でJSPのソースコードがブラウザに表示されてしまう脆弱性」を参照ください。

類似の脆弱性に該当する製品

対象プラットフォーム：AIX、Linux、Windows、Solaris、HP-UX
対象エディション：Express、Base、Network Deployment

対象バージョン：	以下のレベルのWAS
	WAS V6.0.0.1 （WAS V6.0の製品出荷バージョンは6.0.0.1です。）
	WAS V5.1.1.0～5.1.1.2
	WAS V5.1.0.2～5.1.0.5
	WAS V5.0.2.5～5.0.2.9

確認方法

WebSphere Application Server V5, V6でのバージョン、Fixレベルの確認方法

<WAS Root>/binに移動し、versionInfoを実行します。

UNIX系OSの場合
	# ./versionInfo.sh

Windowsの場合
	X:> versionInfo.bat

<WAS Root>は、WebSphere Application Serverの導入ディレクトリーです。デフォルトでは以下のディレクトリーを使用します。


	UNIX /usr/WebSphere/AppServer/
	Linux /opt/WebSphere/AppServer/
	Windows C:\Program Files\WebSphere\AppServer\

インストール済み製品のバージョンを確認します。

	インストール済み製品



	名前	IBM WebSphere Application Server
	バージョン	5.1.1.9
	ID	BASE
	ビルド・レベル	cf90603.03
	ビルド日	01/20/2006

最後の0は表示されない場合があります。つまり「5.1.1」のように表示された場合は「5.1.1.0」になります。

更にfixレベルの詳細が知りたい場合には、次のオプションが利用できます。

# ./versionInfo.sh -long

対応方法

※累積の修正プログラムを利用する方法と、個別の修正プログラムのみを利用する方法の2種類の方法がガイドされている箇所があります。累積の修正プログラムを利用する方法がもっとも推奨される方法ですが、適用した事による影響が大きいと判断される場合には、個別修正プログラムの適用をご検討ください。

回避策

WASでhtmlファイルやイメージ・ファイルなどの静的なリソースの提供を行っていない場合に限り、ファイル・サービスを停止出来ます。ファイル・サービスはWebアプリケーションに定義するIBM拡張である「ファイル・サービスの使用可能」を無効にすることで、停止されます。また、回避策として使うには、JSPを含むWebアプリケーション全てについて「ファイル・サービス」を停止しておく必要があります。

「ファイル・サービス」の無効化方法

方法1. アセンブリー・ツールによる変更方法

1-1.	アセンブリー・ツールでWebモジュールを含むWAR、またはEARを開く
1-2.	WebモジュールのIBM拡張の部分について「ファイル・サービスの使用可能」のチェックボックスをはずし、変更内容を保存する
1-3.	WARまたは、EARをWASに再デプロイする
1-4.	アプリケーション・サーバを再起動して反映

方法2. ibm-web-ext.xmiの直接編集（デプロイ済みのものを編集する場合）

1-1.	<WASROOT>/config/cells/セル名/applications/EARファイル名/deployments/アプリケーション名/deployment.xmlを開く
1-2.	useMetadataFromBinaries属性の値を確認する
1-3.	falseなら、2.の作業のみ実施
1-4.	trueの場合は、3.の作業のみ実施

2-1.	<WASROOT>/config/cells/セル名/applications/EARファイル名/deployments/アプリケーション名/warファイル名/WEB-INFにあるibm-web-ext.xmiファイルを編集する
2-2.	fileServingEnabled="true" をfileServingEnabled="false"に変更し、保存する
2-3.	アプリケーション・サーバを再起動して反映

3-1.	<WASROOT>/installedApps/ノード名/EARファイル名/WARファイル名/WEB-INFにあるibm-web-ext.xmiファイルを編集する
3-2.	fileServingEnabled="true" をfileServingEnabled="false"に変更し、保存する
3-3.	アプリケーション・サーバを再起動して反映

解決策

【WAS V5.0.2.10～V5.0.2.15をお使いのお客様】

方法1. 以下のサイトからv5.0.2.16を入手して適用してください。


	v5.0.2.16

方法2. 以下のサイトから修正プログラム PK13792を入手して適用してください。


	PK13792

【WAS V5.1.1.4～V5.1.1.8をお使いのお客様】

方法1.	上記修正プログラム PK13792を適用してください。

方法2.	V5.1.1.9 + 修正プログラム PK20181を適用してください。

以下のサイトからV5.1.1.9とPK20181^※2の両方を入手し、適用してください。

WAS V5.1.1.9

PK20181

※2	PK20181は、WAS V5.1.1.10 に含まれる予定です。

【WAS V5.1.1.9をお使いのお客様】


	上記修正プログラム PK20181を適用してください。

※	WAS V5.0.2.8に PQ96955 を適用した環境での解決策は、下記お問い合わせ先にご相談ください。

お問合せ先

PAテクニカルサポート総合窓口
（有効なメンテナンス契約IBM番号をお持ちのお客様）
電話：0120-557-971
受付時間：月～金 9:00～17:00（祝日、12/30～1/3を除く）

更新履歴：（2007年3月28日）最新情報へのリンクを更新しました。（2006年8月10日）より新しい総合的な情報を公開したため、この情報は一覧表から削除されました。（2006年4月13日）単体修正プログラムPK13792を含む、累積修正プログラム5.0.2.16が公開されましたので対応方法を更新しました。（2006年3月20日）類似の脆弱性に該当する製品のバージョンについて、WAS V6.0の製品出荷バージョンは6.0.0.1のため、該当バージョンから6.0.0.0を削除しました。（2006年3月9日）対象製品として、5.1.1.9を追加し、それに合わせて、対応方法を修正しました。

上に戻る