【活用ガイド】

JVNDB-2003-000372

Web Services におけるサービス運用妨害 (DoS) の脆弱性

概要

IBM WebSphere Application Server および Microsoft .NET Framework に含まれる Web Services には、受信した SOAP メッセージの取り扱いに不備が存在し、DTD を含む SOAP メッセージを受信した場合、CPU 資源を大量に消費する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


IBM
  • IBM WebSphere Application Server 4.0.5
  • IBM WebSphere Application Server 5.0.0
オラクル
  • Oracle Application Server 1.0.2.2.2 およびそれ以前
  • Oracle Application Server 9.0.2
  • Oracle Application Server 9.0.3
  • Oracle Database 9.0.1.4
  • Oracle Database 9.2.0.2 およびそれ以前
マイクロソフト
  • Microsoft Windows Server 2003

想定される影響

SOAP サーバがサービス運用妨害 (DoS) 状態となる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

IBM オラクル
  • Oracle Security Alert : #65
  • OTN セキュリティ・アラート : 77553
  • オラクル・セキュリティ・アラート : #65
マイクロソフト
  • Microsoft Knowledge Base : 826231
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2004-2244
参考情報

  1. National Vulnerability Database (NVD) : CVE-2004-2244
  2. SecurityFocus : 9204
  3. SecurityFocus : 9703
更新履歴

  • [2007年04月01日]
      掲載

公表日2003/12/11
登録日2007/04/01
最終更新日2007/04/01