概要
公開日: 2007年11月29日
WebSphere Application Server V5.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。この問題は、不正なExpect Headerを含むリクエストを受けた場合に、発生する可能性があります。
現象
WebSphere Application Server(以下WAS) V5.1において、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
不正なExpect Headerを含むリクエストリクエストを受けた場合、WASはエラーページを表示し、エラーページの中に受信したExpect Headerの値が含まれます。
しかし、このエラーページを表示するときのExpect Headerの処理が適切に行われていなかったため、クロスサイト・スクリプティングの脆弱性が発生する場合があります。
尚、すべてのHTTPリクエストがIBM HTTP Server(以下IHS)経由でWASへ送信される場合には、不正なExpectヘッダーがそのままWASに送信されることはないため、WAS側でこの脆弱性が発生することはありません。しかし、IHS側で同様の脆弱性に該当する可能性があります。 IHSの脆弱性については次のページをご確認ください。
対象製品
対象製品:
WebSphere Application Server V5.1 ※1)
対象プラットフォーム:
AIX, Windows, Linux, Solaris, HP-UX, i5/OS (OS/400) ※2)
対象エディション:
すべてのエディション
対象のFixレベル:
WAS V5.1.0.4以上5.1.1.16以下 ※3)
※1) WAS V4.0, V5.0, V6.0, V6.1では、この脆弱性は発生しません。
※2) z/OSプラットフォームでは、この脆弱性は発生しません。
※3) 修正プログラムPK51068を適用している場合は、この脆弱性は発生しません。
確認方法
【WASのバージョンの確認方法】
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書を参照ください。
対応方法
修正プログラムPK51068を適用してください。
修正プログラムPK51068は、次のページよりダウンロードしてください。
【PK51068; 5.1.1.16: WebContainer response to unrecognized Expect Header】
http://www.ibm.com/support/docview.wss?rs=180&uid=swg24017314(US)
この修正プログラムPK51068は、次回提供の累積修正プログラムであるFix Pack 5.1.1.17に含まれる予定です。
WASの最新累積修正プログラムは、次のページをご確認ください。
【Recommended fixes for WebSphere Application Server】
http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980(US)
お問合せ先
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)