IBMA0F1D691A598C5E1F797B1E1D411F088FA56A3C79C6DE77F020B5D040678C45BSecurity Bulletin: traditional WebSphere Application Serverでの権限昇格の脆弱性(CVE-2017-1151)
8.1 High
CVSS3
Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality Impact
HIGH
Integrity Impact
HIGH
Availability Impact
HIGH
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
6.8 Medium
CVSS2
Access Vector
NETWORK
Access Complexity
MEDIUM
Authentication
NONE
Confidentiality Impact
PARTIAL
Integrity Impact
PARTIAL
Availability Impact
PARTIAL
AV:N/AC:M/Au:N/C:P/I:P/A:P
Summary
WebSphere Application Server traditional で、OpenID Connect (OIDC) Trust Association Interceptor (TAI)を使用する場合、管理者が意図しない権限昇格が発生する脆弱性が報告されました。
この脆弱性は、WebSphere Application Server Libertyには影響しません。
最新の情報は下記の文書(英語)をご参照ください。
Security Bulletin: Privilege Escalation Vulnerability in WebSphere Application Server (CVE-2017-1151)
http://www.ibm.com/support/docview.wss?uid=swg21999293
Vulnerability Details
CVEID: CVE-2017-1151**
DESCRIPTION:** OpenID Connect (OIDC) Trust Association Interceptor (TAI)が構成されたIBM WebSphere Application Serverでは、システム上でユーザーが昇格した権限を取得できる可能性があります。
CVSS Base Score: 8.1
CVSS Temporal Score: 現在のスコアはhttps://exchange.xforce.ibmcloud.com/vulnerabilities/122292 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Affected Products and Versions
この脆弱性は、WebSphere Application Server の下記のバージョンおよびリリースで影響を受けます。
Version 9.0
Version 8.5
Version 8.0
Remediation/Fixes
解決策として、APAR PI74857を含む個別修正、または、Fix Pack・PTFを適用することを推奨します。
**※1:**クラスター構成の場合は、それぞれのクラスター・メンバーに個別修正を適用する必要があります。
**※2:**個別修正モジュールAPAR PI74857適用に関して、お使いのバージョンが、v8.0.0.12以下、またはv8.5.5.9以下の場合は、前提条件としてPI57465を合わせて適用する必要があります。
(v8.5.5.10以降、v9をお使いの場合、PI57465はすでに含まれているため適用の必要はありません。)
PI57465: OIDC: Remove session cookie after logout ENABLEMENT FIXES
<http://www-01.ibm.com/support/docview.wss?uid=swg24042452>
WebSphere Application Server traditional と Hypervisor Edition:
| バージョン | 対応策 |
|---|---|
| V9.0.0.0~V9.0.0.3 |
-
個別修正モジュールAPAR PI74857 を適用します。
-- または – -
Fix Pack 9.0.0.4以降へアップデートします。
※Fix Pack 9.0.0.4は、 2017年6月23日にリリース予定です。(2017/03/21時点)
V8.5.0.3~V8.5.5.11| -
個別修正で必要とされるFix Pack 8.5.5.3以降へアップデートし、個別修正モジュールAPAR PI74857 を適用します。
-- または – -
Fix Pack 8.5.5.12以降へアップデートします。
※Fix Pack 8.5.5.12は、 2017年8月4日にリリース予定です。(2017/03/21時点)
V8.0.0.10~V8.0.0.13| -
個別修正で必要とされるFix Pack 8.0.0.10以降へアップデートし、個別修正モジュールAPAR PI74857 を適用します。
-- または – -
Fix Pack 8.0.0.14以降へアップデートします。
※Fix Pack 8.0.0.14は、2017年10月16日にリリース予定です。(2017/03/21時点)
Workarounds and Mitigations
グローバル・セキュリティー・カスタム・プロパティー "com.ibm.websphere.security.InvokeTAIbeforeSSO"の値にOIDC TAIクラス名:“com.ibm.ws.security.oidc.client.RelyingParty” が含まれている場合、その値を削除してください。
このプロパティーは、管理コンソール : グローバル・セキュリティー > カスタム・プロパティーから変更できます。
InvokeTAIbeforeSSOがOIDC TAIクラスに対して有効でない場合、ユーザーログインのタイムアウトは、LTPAトークンのタイムアウト値になります。
カスタム・プロパティーの変更についての詳しい情報は、下記knowledge centerをご参照ください。
グローバル・セキュリティー構成またはセキュリティー・ドメイン構成内の 既存のカスタム・プロパティーの削除
<https://www.ibm.com/support/knowledgecenter/SSAW57_9.0.0/com.ibm.websphere.nd.multiplatform.doc/ae/tsec_custprop_del.html>
Related
8.1 High
CVSS3
Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality Impact
HIGH
Integrity Impact
HIGH
Availability Impact
HIGH
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
6.8 Medium
CVSS2
Access Vector
NETWORK
Access Complexity
MEDIUM
Authentication
NONE
Confidentiality Impact
PARTIAL
Integrity Impact
PARTIAL
Availability Impact
PARTIAL
AV:N/AC:M/Au:N/C:P/I:P/A:P