概要
公開日: 2007年11月8日
IBM HTTP Server(以下IHS)において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。これは、IHSのベースとなるApache HTTP Serverでも報告されている脆弱性であり、不正なExpect Headerを含むリクエストを受けた場合に発生する可能性があります。
現象
IBM HTTP Server(以下IHS)1.3, 2.0, 6.0, 6.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。これは、IHSのベースとなるApache HTTP ServerのCVE-2006-3918として報告されている脆弱性です。
不正なExpect Headerを含むリクエストを受けた場合、IHSはエラーページを表示し、エラーページの中に受信したExpect Headerの値が含まれます。
しかし、このエラーページを表示するときのExpect Headerの処理が適切に行われていなかったため、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
対象製品
IBM HTTP Server 1.3.26.x
(累積修正プログラムPK27875、またはそれ以降のものを適用している場合は、この脆弱性は発生しません)
IBM HTTP Server 1.3.28.x
(累積修正プログラムPK27875、またはそれ以降のものを適用している場合は、この脆弱性は発生しません)
IBM HTTP Server 2.0.42.x
(累積修正プログラムPK25335、またはそれ以降のもの ※1を適用している場合は、この脆弱性は発生しません)
IBM HTTP Server 2.0.47.x
(累積修正プログラムPK25335、またはそれ以降のもの ※2を適用している場合は、この脆弱性は発生しません)
IBM HTTP Server 6.0.x
(IBM HTTP Server 6.0.2.13 以上ではこの脆弱性は発生しません)
IBM HTTP Server 6.1.0.x
(IBM HTTP Server 6.1.0.2 以上ではこの脆弱性は発生しません)
※1) IHS 2.0.42の場合、PK29827の累積修正プログラム(2007/11/07現在)
※2) IHS 2.0.47の場合、PK29827またはPK53584の累積修正プログラム(2007/11/07現在)
確認方法
IHSのバージョンの確認方法は以下の通りです。
AIXや他のUnix、Linuxの場合
IHSのインストールディレクトリ/binでapachectl -vを実行。
[/usr/IHS/bin]./apachectl -v
Server version: IBM_HTTP_SERVER/2.0.47 Apache/2.0.47
Server built: Oct 10 2003 11:33:10
(IHS 1.3.*の場合は、 httpd -v でバージョンを確認できます。)
Windowsの場合
IHSのインストールディレクトリ/binでapache -vを実行。
>apache -v
Server version: IBM_HTTP_SERVER/6.0.2 Apache/2.0.47
Server built: May 11 2005 17:32:46
対応方法
IHS 1.3.xの場合
修正コードPK24631を含んだ最新の累積修正プログラム(PK27875以降)をダウンロードし、適用してください。修正プログラムは最新の累積修正プログラムのページより入手してください。
IHS 2.0.xの場合
修正コードPK24631を含んだ最新の累積修正プログラム(PK25335以降)をダウンロードし、適用してください。修正プログラムは最新の累積修正プログラムのページより入手してください。
尚、IHS 2.0.42の最新の累積修正プログラムはPK29827、IHS 2.0.47の最新の累積修正プログラムはPK53584です。(2007/11/07現在)
IHS 6.0.xの場合
累積修正プログラム(FixPack 6.0.2.13以上)をダウンロードし、適用してください。修正プログラムは最新の累積修正プログラムのページより入手してください。
IHS 6.1.0.xの場合
累積修正プログラム(FixPack 6.1.0.2以上)をダウンロードし、適用してください。修正プログラムは最新の累積修正プログラムのページより入手してください。
最新のIHSの累積修正プログラム(IHS 1.3, 2.0, 6.0, 6.1)
次のWebページより確認・入手可能ですので、最新の累積修正プログラムをご利用ください。
http://www.ibm.com/support/docview.wss?rs=180&uid=swg27005198(US)
2007/11/07時点の最新の累積修正プログラム(IHS 1.3, 2.0)
次のWebページより入手可能です。前提となる累積修正プログラムがありますので、最新のIHSの累積修正プログラムのページをご確認いただくことをお勧めします。
累積修正プログラム(PK27875) (IHS 1.3)
http://www.ibm.com/support/docview.wss?rs=180&uid=swg1PK27875(US)
累積修正プログラム(PK29827) (IHS 2.0.42)
http://www.ibm.com/support/docview.wss?rs=177&uid=swg24013129(US)
累積修正プログラム(PK53584) (IHS 2.0.47)
http://www.ibm.com/support/docview.wss?rs=177&uid=swg24017141(US)
お問合せ先
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)