Flashes (Alerts)
Abstract
IBM WebSphere Application Server および IBM HTTP Server は、CVE-2014-0160 OpenSSL Heartbleed 脆弱性 の影響を受けません。
Content
OpenSSLにおいて、通称Heartbleed脆弱性と呼ばれるCVE-2014-0160が報告されています。
IBM WebSphere Application Server (以降、WAS)および IBM HTTP Server (以降、IHS)では、CVE-2014-0160 OpenSSL Heartbleed 脆弱性 の影響を受けません。
注) 本脆弱性CVE-2014-0160検査のためのHeartbleed scanning tool使用によりWAS V6.1/6.0.2でHeartbleed脆弱性とは別の問題(CVE-2014-0964)が報告されており、文末に情報を追記しました。
Heartbleed scanning toolを使用する場合は、ご注意ください。
そのため、CVE-2014-0160に関してWAS および IHSへの対応が必要ないことを報告します。
・WebSphere Application Server: SSL処理にIBM独自実装であるIBM Java JSSE を使用していますが、今回問題となる処理を実装していません。
・IBM HTTP Server およびWebサーバー・プラグイン: SSL処理にIBM独自実装であるIBM GSKit を使用していますが、今回問題となる処理を実装していません。
最新の情報については、下記URLの文書(英語)もご参照ください。
IBM WebSphere Application Server and IBM HTTP Server CVE-2014-0160
http://www.ibm.com/support/docview.wss?uid=swg21669774
-----------------------------
【ご注意ください】
WAS V7.0未満で、Heartbleed scanning tool を使用する場合は、Heartbleed脆弱性とは別の問題(CVE-2014-0964)への対応が必要です。
※ CVE-2014-0964として報告されている問題は、WAS V6.0.2/V6.1に対してHeartbleed scanning tool を使用することが、サービス不能(DoS)攻撃に繋がるというものです。WAS V7.0以降のバージョンでは発生しません。
Security Bulletin: Denial of Service with WebSphere Application Server and Scanning Tool (CVE-2014-0964)
http://www.ibm.com/support/docview.wss?uid=swg21671835
CVE-2014-0964(PI14306/PI16981)
【対象ソフトウェア】
対象OS:
- 分散系プラットフォーム (AIX、Linux、Windows、Solaris、HP-UX)
- IBM i
- z/OS
- IBM WebSphere Application Server V6.1.0.0-V6.1.0.47
- IBM WebSphere Application Server V6.0.2.0-V6.0.2.43
【回避策】
なし
【対応策】
IBM HTTP Server における脆弱性(CVE-2014-0964)への対応方法は、以下の通りとなります。
各バージョンのFix PackまたはPTFを適用してください。
バージョン | 対応策 |
V6.1.0.0~V6.1.0.47 |
|
V6.0.2.0~V6.0.2.43 | 個別修正モジュールAPAR PI17128 を適用します。 ※WAS V6.0.2の個別修正のお問い合わせには、延長サポートが必要になります。 |
【関連情報】 分散系プラットフォーム(AIX、Linux、Windows、Solaris、HP-UX)の場合: Recommended Fix List for IBM WebSphere Application Server
z/OSの場合: APAR/PTF Tables by version for IBM WebSphere Application Server for z/OS
【変更履歴】
2014/4/10 初版発行
2014/4/11 サポート終了済みのバージョンを追記
2014/4/15 IBM PSIRT blog postのリンクを追記
2014/5/15 サービス不能(DoS)攻撃 CVE-2014-0964への対応を追記
2016/8/5 リンク切れを修正
2016/10/14 リンク切れを修正
[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"General","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"8.5.5;8.5;8.0;7.0","Edition":"All Editions","Line of Business":{"code":"LOB45","label":"Automation"}}]
Was this topic helpful?
Document Information
Modified date:
25 September 2022
UID
swg21669902