 |
WII OmniFind Editonで使用するWASのJSPのコードがブラウザに表示される脆弱性への対応(DM-06-025) 作成日: 2006年8月29日
更新日: 2007年4月2日 | WebSphere Information Integrator OmniFind Editon V8.2 / V8.3 では、WAS V5.1 / V6.0を使用しており、このためWAS V5.1/V6.0上のJSPに対して細工を施したリクエストを送付することで、JSPファイルのソースコードが返される可能性があります。その問題の内容と対応について解説します。 |
(2007/04/02 12:58) OmniFind Enterprise Edition V8.4およびWAS V6.1の情報の追加。重要セキュリティー情報のリンク先URLの変更。【概要】
WebSphere Information Integrator OmniFind Editon V8.2 / V8.3 / V8.4 では、WAS V5.1 / V6.0 / V6.1 を使用しており、このためWAS V5.1/ V6.0 / V6.1上のJSPに対して細工を施したリクエストを送付することで、JSPファイルのソースコードが返される可能性があります。
【現象】
WAS V5.1/V6.0/V6.1上の実在するJSPに対して、細工を施したリクエストを送付することで、JSPの実行結果(HTML)ではなく、JSPファイルのソースコードが返される可能性があります。
当問題につきましては2006年2月にWebSphereの同様の不具合についてご案内していますが、その後新たな発生条件が確認されたため、お手数ですが対象バージョン、リリース、プラットフォームにつき、再度ご確認いただきますよう
よろしくお願いいたします。
【関連情報】
IBM重要セキュリティー情報「WASV4.0 / V5.0 / V5.1 / V6.0で、JSPのソースコードがブラウザに表示されてしまう脆弱性」
http://www.ibm.com/jp/services/security/secinfo/si-060810a.html
http://www.ibm.com/jp/services/security/secinfo/si-070328a.html
【影響範囲】
JSPのソースコードにDBへの接続やスキーマ名等、システム内部の情報が記載されている場合は、それらがリモート・ユーザーに参照されてしまう可能性があります。
【対象製品】
対象プラットフォーム:
AIX、Linux、Windows、Solairs
対象バージョン:
DB2 Information Integrator OmniFind Edition V8.2
WebSphere Information Integrator OmniFind Edition V8.2
WebSphere Information Integrator OmniFind Edition V8.3
OmniFind Enterprise Edition V8.4
【対応方法】
下記リンク先を参照いただきガイドに従い修正プログラムを適用いただきますようお願いいたします。
<重要セキュリティー情報>
http://www.ibm.com/jp/services/security/secinfo/si-060810a.html
http://www.ibm.com/jp/services/security/secinfo/si-070328a.html
「対応方法」-> 【解決策】に記載されているバージョン、プラットフォームごとの解決策をご参照ください。
【お問合せ先】
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様。)
電話:0120-557-971
受付時間:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)
【参考情報】
IBM Technical Support Flash (英語版) http://www.ibm.com/support/docview.wss?uid=swg21243541
文書情報
有効期限: 2009年8月29日
資料番号: DM-06-025
本コーナーは、お客様の問題解決のためのヒントとしてご利用ください。 本コーナーの記載内容は、お客様固有の問題に対し、適切であるかどうか、また、正確であるかどうかは十分検証されていません。 結果について、いかなる保証も責任も負いかねますので、あらかじめご了承ください。 |
|
