IBM Support

【セキュリティ情報】: IBM WebSphere MQ & TLS Heartbleed (CVE-2014-0160)

Security Bulletin


Summary

オープンソースの暗号通信ライブラリであるOpenSSL に、情報漏洩のセキュリティ脆弱性が報告されました。
この脆弱性に関するWebSphereMQの影響を記載します。

Vulnerability Details

CVE ID: CVE-2014-0160

DESCRIPTION:
Open SSL 1.0.1 (1.0.1g以前)のTLSおよびDTLSの実装は、適切にハートビートExtensionパケットを処理しないため、リモートの攻撃者が工作したパケットによりバッファーあふれを発生させ、メモリーから機密情報(例:秘密鍵、ユーザー名、パスワード、暗号化されたトラフィックの内容など)を入手できる可能性があります。この問題は、Heartbleed Bug としても知られています。


CVSS:
CVSS Base Score: 7.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/92322 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:N/A:N)

Affected Products and Versions

この脆弱性は、次のコンポーネント(サポート・パック/Eclipseプロジェクト)を使用されている場合、影響があります。

  • Support Pac MAT1 - WebSphere MQ client for HP Integrity NonStop Server
  • Eclipse Paho MQTT C Client - Linux & Windows

下記の製品では、プラットフォーム、バージョン、リリースに関わらず影響がありません。
  • IBM WebSphere MQ Client
  • IBM WebSphere MQ Server
  • IBM WebSphere MQ Managed File Transfer
  • IBM WebSphere MQ Advanced Message Security

IBM Java JSSE は、OpenSSLを使用しておりません。

Remediation/Fixes

WebSphere MQ client for HP Integrity NonStop Server と Paho MQTT C clients for Linux and Windows ともに脆弱性の修正を含んだOpenSSL 1.0.1gを使用するように変更されました。

  • A refreshed install image for the HP Integrity NonStop Server MQ client のリフレッシュ・イメージはFixセントラル ここ からダウンロードできます。
  • A refreshed zip file containg the Paho MQTT C client のリフレッシュ・ファイルは、Fixセントラル ここ からダウンロードできます。

修正を導入後、CVE-2014-0160では追加のステップの実行が推奨されています。

1) SSL証明書の置き換え
あなたは、既存のSSL証明書を取り消して、新しい証明書を再発行する必要があります。
古いプライベートキーを使用して新しい証明書を生成するのではなく、新しいプライベートキー(例えば、"openssl genrsa"を使用)を使用して、新しい証明書署名要求(CSR)を作成するために、新しいプライベートキーを使用する必要があります。

2) 証明書のリセット
脆弱なOpenSSLのバージョンで保護されているネットワークのアプリケーション・ユーザーは、OpenSSLのアップグレード前にパスワードのリセット、認証もしくはセッションに関連したクッキーの取り消しが強制される必要があり、
その後、再認証する必要があります。

注意:
あなたの環境は、他の製品(非IBM製品を含む)のために、更なる修正を必要とするかもしれません。
SSL証明書に代わって、必要な修正をあなたの環境に適用した後に、ユーザー証明書をリセットしてください。

Workarounds and Mitigations

なし

サポートパック MA9B で提供されているCクライアントライブラリーでは、OpenSSL 1.0.1.gを使用するようにソースからリビルドできます。 instructions を参照ください。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Off
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: IBM WebSphere MQ & TLS Heartbleed (CVE-2014-0160)

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates

[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog


【お問合せ先】
技術的な内容に関して、サービス契約のあるお客様はIBMサービス・ラインにお問い合わせください。
IBM サービス・ライン

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSFKSJ","label":"WebSphere MQ"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"SSL","Platform":[{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"7.5.0.3;7.5.0.2;7.5.0.1;7.5;7.1.0.4;7.1.0.3;7.1.0.2;7.1.0.1;7.1;7.0.4.3;7.0.4.2;7.0.4.1;7.0.4;7.0.3;7.0.2;7.0.1.9;7.0.1.8;7.0.1.7;7.0.1.6;7.0.1.5;7.0.1.4;7.0.1.3;7.0.1.2;7.0.1.12;7.0.1.11;7.0.1.10;7.0.1.1;7.0.1;7.0.0.2;7.0.0.1;7.0;6.0.2.9;6.0.2.8;6.0.2.7;6.0.2.6;6.0.2.5;6.0.2.4;6.0.2.3;6.0.2.2;6.0.2.12;6.0.2.11;6.0.2.10;6.0.2.1;6.0.2;6.0.1.2;6.0.1.1;6.0.1;6.0;5.3.1;5.3","Edition":"All Editions","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21669903

Page Feedback