公開日:2011/02/24 最終更新日:2011/02/24

JVNVU#375127
IBM WebSphere Portal Server の入力値検証に脆弱性

概要

IBM WebSphere Portal Server には、入力値の検証に脆弱性が存在します。

影響を受けるシステム

  • IBM WebSphere Portal
  • Lotus Web Content Management
  • IBM Lotus Quickr for WebSphere Portal
各製品の影響を受けるバージョン情報は広範囲におよびます。詳しくは、IBM が提供する情報をご確認ください。

詳細情報

IBM WebSphere Portal Server には、XML 経由で転送された entry path の入力値の検証に脆弱性が存在します。

IBM のウェブサイトには以下の記載があります。 

"IBM WebSphere Portal software provides a composite application or business mashup framework and the advanced tooling needed to build flexible, SOA-based solutions, as well as the unmatched scalability required by any size organization."

想定される影響

該当製品にログイン可能な第三者によって、システム内の情報を取得されたり、閲覧されたりするなどの可能性があります。

対策方法

アップデートする
IBM が提供する情報をもとにパッチを適用してください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 該当製品へのアクセスを制限する

ベンダ情報

ベンダ リンク
IBM (参考) WebSphere Portal のセキュリティ問題の修正 (PM25698)
Fix Available: WebSphere Portal Security risk, a modified message could be used to retrieve information from the system (PM25698)

参考情報

  1. US-CERT Vulnerability Note VU#375127
    IBM WebSphere Portal Server input validation vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia