JVNDB-2013-000004

[English]
JVNDB-2013-000004
WebSphere Application Server (WAS) におけるクロスサイトスクリプティングの脆弱性
概要
IBM が提供する WebSphere Application Server (WAS) の SnoopServlet には、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 合同会社セキュリティ・プロフェッショナルズ・ネットワーク吉田英二（Eiji James Yoshida）氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

IBM IBM WebSphere Application Server 6.0.2.21 より前のバージョン IBM WebSphere Application Server 6.1.0.9 より前のバージョン

想定される影響
ユーザのウェブブラウザ上で、任意のスクリプトが実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、製品をアップデートしてください。開発者によると、本脆弱性は WAS 6.0.2.21 および WAS 6.1.0.9 で修正されています。また、WAS 6.0.x は 2010年9月30日にサポート終了、WAS 6.1.x は 2013年9月30日にサポート終了予定です。
ベンダ情報
IBM IBM : Update Strategy for WebSphere Application Server V6.1 IBM : IBM Software support lifecycle - WebSphere Application Server 6.1.x, and WebSphere Application Server 6.0.x
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVN#24343509
更新履歴
[2013年01月25日] 掲載


公表日	2013/01/25
登録日	2013/01/25
最終更新日	2013/01/25

WebSphere Application Server (WAS) におけるクロスサイトスクリプティングの脆弱性