セキュリティ

SECURITY

公開：2024-10-23

【CVE-2024-45072】IBM WebSphere Application Serverに脆弱性、XML外部エンティティの不適切な制限で情報漏洩のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IBM WebSphere Application Serverに脆弱性が発見
• XML外部エンティティの不適切な制限による深刻な影響
• 情報取得やDoS攻撃のリスクに対する対策が必要

IBM WebSphere Application Server 8.5と9.0の脆弱性

IBMは2024年10月16日にIBM WebSphere Application Serverにおける重大な脆弱性を公開した。この脆弱性はCVSS v3の基本値が5.5と評価されており、攻撃元区分がネットワークで攻撃条件の複雑さが低いものの攻撃に必要な特権レベルが高い特徴を持っている。【CVE-2024-45072】として識別されているこの問題は、XML外部エンティティの不適切な制限に起因するものだ。^[1]

影響を受けるバージョンは、IBM WebSphere Application Server 8.5.0.0から8.5.5.26およびIBM WebSphere Application Server 9.0.0.0から9.0.5.21までの広範囲に及んでいる。この脆弱性により、攻撃者は機密情報を取得したりサービス運用を妨害したりする可能性があるため、早急な対応が求められる。

IBMはこの脆弱性に対する正式な対策をIBM Support Document 7173263として公開している。CWEによる脆弱性タイプはXML外部エンティティ参照の不適切な制限（CWE-611）に分類されており、適切なパッチの適用による対策が推奨されている。

IBM WebSphere Application Serverの脆弱性概要

XML外部エンティティについて

XML外部エンティティとは、XMLドキュメント内で外部リソースを参照するための機能のことを指す。主な特徴として以下のような点が挙げられる。

• 外部ファイルやURLからデータを読み込む機能
• DTDで定義された外部エンティティの解決機能
• システムリソースへのアクセス制御が重要

IBM WebSphere Application Serverの脆弱性では、XML外部エンティティの参照制限が不適切であることが問題となっている。この脆弱性が悪用された場合、攻撃者は機密情報の取得やサービス運用の妨害を引き起こす可能性があるため、早急なパッチ適用による対策が必要となっている。

IBM WebSphere Application Serverの脆弱性に関する考察

IBM WebSphere Application Serverの脆弱性対策として正式なパッチが公開されたことは評価できる点である。特にCVSS基本値が5.5と評価される中程度の脆弱性に対して迅速な対応が行われたことで、ユーザーは適切な対策を実施することが可能になっている。

今後の課題として、XML外部エンティティに関する脆弱性の予防的な対策の強化が必要となるだろう。特にアプリケーションサーバーの設計段階からセキュリティを考慮した実装を行うことで、同様の脆弱性の発生を防ぐことができる可能性が高い。

将来的には、XMLパーサーのセキュリティ強化やモニタリング機能の拡充が期待される。特に外部エンティティの参照に関する詳細なログ収集や異常検知機能の実装により、脆弱性の早期発見と対策が可能になるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-010803 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010803.html, (参照 24-10-23).
2. IBM. https://www.ibm.com/jp-ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧