本文へジャンプ

重要セキュリティー情報 > 

WAS V6.0/V6.1における、異なるユーザーのレスポンス・データが表示されてしまう不具合

概要

公開日: 2007年8月6日

WebSphere Application Server V6.0/V6.1において、ブラウザーとの接続が閉じられたことによるエラーが発生したときに、別のユーザーのレスポンス・データの一部として、異なるユーザーのレスポンス・データが表示される場合があります。


現象

WebSphere Application Server(以下、WAS)側でのレスポンス・データ作成中に、ブラウザーとの接続が閉じられたことによるエラー(closed connection exception)が発生したときに、そのタイミングによって下記の3つのケースが発生します。closed connection exceptionは、ブラウザー側でレスポンス・データを取得する前にキャンセルが行われた場合などに発生します。

  1. WAS側でのクリーンナップが正常に完了し、何も問題は発生しない。ほとんどのケースが該当します。
  2. キャンセルされたレスポンス・データが、後続リクエストのレスポンス・データに追加される。
  3. 後続リクエストのレスポンス・データが、別の後続リクエストのレスポンス・データに追加される。

これにより、あるユーザーへのレスポンス・データが、意図しない他ユーザーのブラウザー上にレスポンス・データの一部として表示される場合があります。

ただし、V6.0.2.15またはV6.1.0.2のFix Packが適用されている場合には、上記3.のケースが発生することはなく、2.のケースが発生する可能性も大きく減少します。


対象製品

プラットフォーム 対象バージョン
AIX, Windows, Linux, Solaris, HP-UX WAS 6.0の場合:
  ・6.0以上6.0.2.19以下
WAS 6.1の場合:
  ・6.1以上6.1.0.7以下
i5/OS (OS/400) WAS 6.0の場合:
  ・6.0以上6.0.2.17以下
  ・6.0.2.19の一部 (2007年5月30日または、それ以降に
   提供された6.0.2.19の修正プログラムを適用している
   場合は該当しません) (注3)
WAS 6.1の場合:
  ・6.1以上6.1.0.7以下
z/OS WAS 6.0の場合:
  ・6.0以上6.0.2.19以下
WAS 6.1の場合:
  ・6.1以上6.1.0.8以下
(注1) すべてのFixレベルにおいて、修正プログラムPK41446(z/OSの場合、PK42875またはPK46618)が適用されている場合は該当しません。
(注2) WAS V4.0, V5.0, V5.1, V6.0.2.21以上、V6.1.0.9以上では、この問題は発生しません。
(注3) i5/OS(OS/400)プラットフォームにおいて、Fix Pack V6.0.2.19 を適用している場合には、<install_root>/properties/version/os400.java.componentファイルを確認し、インストールしているV6.0.2.19のレベルを確認してください。
  • build-versionの値が「cf190717.15」の場合、初期バージョンのV6.0.2.19(2007年5月30日以前のレベル)が適用されています。この問題に該当しますので、解決策となる修正プログラムPK41446の適用が必要です。
  • build-versionの値が「cf190717.15」ではない場合、修正バージョンのV6.0.2.19(2007年5月30日または、それ以降のレベル)が適用されています。この問題には該当しませんので、解決策の実施の必要はありません。

確認方法

お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書をご参照ください。
【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法

対応方法

指定の修正プログラム、または修正プログラムの集合であるFix PackまたはRefresh Packを適用してください。

プラットフォーム 対象バージョン 解決策
AIX, Windows, Linux, Solaris, HP-UX WAS V6.0〜6.0.1.2 Refresh Pack 2 (6.0.2)を適用のうえ修正プログラムPK41446を適用します。
または、
Refresh Pack 2 (6.0.2)を適用のうえV6.0.2.21以上の最新のFix Packを適用します。
WAS V6.0.2〜6.0.2.19 修正プログラムPK41446を適用します。
または、
V6.0.2.21以上の最新のFix Packを適用します。
WAS V6.1〜6.1.0.7 修正プログラムPK41446を適用します。
または、
V6.1.0.9以上の最新のFix Packを適用します。
i5/OS (OS/400) WAS V6.0〜6.0.1.2 Refresh Pack 2 (6.0.2)を適用のうえ修正プログラムPK41446を適用します。
または、
Refresh Pack 2 (6.0.2)を適用のうえV6.0.2.21以上の最新のFix Packを適用します。
WAS V6.0.2〜6.0.2.17 修正プログラムPK41446を適用します。
または、
2007年5月30日または、それ以降提供のV6.0.2.19以上の最新のFix Packを適用します。
WAS V6.0.2.19 修正プログラムPK41446を適用します。
WAS V6.1〜6.1.0.7 修正プログラムPK41446を適用します。
または、
V6.1.0.9以上の最新のFix Packを適用します。
z/OS WAS V6.0〜6.0.2.19 V6.0.2.20以上の最新のFix Packを適用します。
(これらのFix Packに修正プログラムPK41446/PK42875が含まれます)
WAS V6.1〜6.1.0.8 V6.1.0.9以上の最新のFix Packを適用します。
(これらのFix Packに修正プログラムPK41446/PK46618が含まれます)

修正プログラムPK41446 (for AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400))
【PK41446; Possible response buffer corruption after closed connection error】

最新のFix Pack (for AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400))
【Recommended fixes for WebSphere Application Server】

Refresh Pack 2 (6.0.2) (for AIX, Windows, Linux, Solaris, HP-UX, OS/400)
【6.0.2: WebSphere Application Server V6.0 Refresh Pack 2】

最新のFix Pack (for i5/OS (OS/400))
【WebSphere Application Server for i5/OS - PTFs】

最新のFix Pack (for z/OS)
【APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS】

お問い合わせ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話 :0120-557-971
受付時間 :月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)


参考情報 (情報源)

US Flash「Security: Possible security exposure where one might be able to see another's response data in certain scenarios (PK41446, PK42875 and PK46618)」(US)

上に戻る