製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM Cognos Business Intelligence におけるサービス運用妨害 (DoS) の脆弱性

Title	IBM Cognos Business Intelligence におけるサービス運用妨害 (DoS) の脆弱性
Summary	IBM Cognos Business Intelligence には、XML データ処理時の XML 外部エンティティ (XXE) の挿入エラーにより、サービス運用妨害 (DoS) 状態にされる脆弱性が存在します。ベンダは、本脆弱性を IBM X-Force ID: 110563 として公開しています。
Possible impacts	リモート認証された攻撃者により、利用可能なすべての CPU 資源を消費されることで、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 31, 2017, midnight
Registration Date	July 4, 2017, 11:28 a.m.
Last Update	July 4, 2017, 11:28 a.m.

Affected System

IBM

IBM Cognos Business Intelligence 10.1

IBM Cognos Business Intelligence 10.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-0254	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0254
National Vulnerability Database (NVD)
2	CVE-2016-0254	https://nvd.nist.gov/vuln/detail/CVE-2016-0254

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-611	https://cwe.mitre.org/data/definitions/611.html

ベンダー情報

No	Name	URL
IBM Support Document
1	2004036	http://www-01.ibm.com/support/docview.wss?uid=swg22004036

Change Log

No	Changed Details	Date of change
0	[2017年07月04日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-0254

Summary	IBM Cognos Business Intelligence 10.1 and 10.2 is vulnerable to a denial of service, caused by an XML External Entity Injection (XXE) error when processing XML data. A remote authenticated attacker could exploit this vulnerability to consume all available CPU resources and cause a denial of service. IBM X-Force ID: 110563.
Publication Date	June 8, 2017, 2:29 a.m.
Registration Date	Jan. 26, 2021, 2:03 p.m.
Last Update	Nov. 21, 2024, 11:41 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:ibm:cognos_business_intelligence:10.2.1:::::::*
cpe:2.3:a:ibm:cognos_business_intelligence:10.2:::::::*
cpe:2.3:a:ibm:cognos_business_intelligence:10.1.1:::::::*
cpe:2.3:a:ibm:cognos_business_intelligence:10.2.1.1:::::::*
cpe:2.3:a:ibm:cognos_business_intelligence:10.2.2:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.ibm.com/support/docview.wss?uid=swg22004036	Patch Vendor Advisory
2	http://www.ibm.com/support/docview.wss?uid=swg22004036	Patch Vendor Advisory
3	http://www.securityfocus.com/bid/98971	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/98971	Third Party Advisory VDB Entry
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/110563	VDB Entry Vendor Advisory
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/110563	VDB Entry Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-611	XML 外部エンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/611.html