Security Bulletin
Summary
オープンソースの zlib に複数の脆弱性が見つかりました。ユーザーが特別に細工されたドキュメントを開くことによって、リモートの攻撃者はこの脆弱性を悪用することが可能です。
最新の情報はオリジナルの英語の文書をご参照ください。
Security Bulletin: IBM MQ, IBM WebSphere MQ and IBM MQ Appliance Open Source zlib is vulnerable to a denial of service (CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843)
http://www.ibm.com/support/docview.wss?uid=swg22001520
Vulnerability Details
CVEID: CVE-2016-9840 DESCRIPTION: zlib は、 inftrees.c で不適切なポインタ演算が実行されることによって、影響を受ける可能性があります。ユーザーが特別に細工されたドキュメントを開くことで、リモートの攻撃者はこの脆弱性を悪用することが可能です。 CVSS Base Score: 3.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120508 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
CVEID: CVE-2016-9841 DESCRIPTION: zlib は、 inftrees.c で不適切なポインタ演算が実行されることによって、影響を受ける可能性があります。ユーザーが特別に細工されたドキュメントを開くことで、リモートの攻撃者はこの脆弱性を悪用することが可能です。 CVSS Base Score: 3.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120509 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
CVEID: CVE-2016-9842 DESCRIPTION: zlib は、未定義の負の整数に対する左シフト演算が行われることによって、影響を受ける可能性があります。ユーザーが特別に細工されたドキュメントを開くことで、リモートの攻撃者はこの脆弱性を悪用することが可能です。 CVSS Base Score: 3.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120510 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
CVEID: CVE-2016-9843 DESCRIPTION: zlib は、ビッグ・エンティアンのポインタに対する不適切な処理によって、影響を受ける可能性があります。ユーザーが特別に細工されたドキュメントを開くことで、リモートの攻撃者はこの脆弱性を悪用することが可能です。 CVSS Base Score: 3.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120511 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) Affected Products and Versions |
Affected Products and Versions
IBM WebSphere MQ 7.1
メンテナンス・レベル 7.1.0.0 - 7.1.0.8
IBM WebSphere MQ 7.5
メンテナンス・レベル 7.5.0.0 - 7.5.0.7
IBM MQ 8.0
メンテナンス・レベル 8.0.0.0 - 8.0.0.6
IBM MQ Appliance 8.0
メンテナンス・レベル 8.0.0.0 - 8.0.0.6
IBM MQ 9.0 長期サポート・リリース(LTS)
メンテナンス・レベル 9.0.0.0 のみ
IBM MQ 9.0 継続的デリバリー・リリース(CD)
継続的デリバリー・アップデート 9.0.1 および 9.0.2
IBM MQ Appliance 9.0 継続的デリバリー・リリース(CD)
継続的デリバリー・アップデート 9.0.1 および 9.0.2
Remediation/Fixes
お使いの環境に該当する Fix Pack を適用してください。
バージョン | 対応策 |
WebSphere MQ 7.1 |
|
WebSphere MQ 7.5 |
|
IBM MQ 8.0 |
|
IBM MQ Appliance 8.0 |
|
IBM MQ 9.0 LTS |
|
IBM MQ 9.0 CD |
|
IBM MQ Appliance 9.0 CD |
|
サポートの提供されていない古いバージョンの IBM WebSphere MQ 製品をご使用の場合、サポートされるバージョンへアップグレードいただくことをお薦めします。
Workarounds and Mitigations
該当するすべてのバージョン
チャネル圧縮を使用しないよう、チャネルのCOMPMSG属性をNONEに設定してください。(これはデフォルトの設定です)
Get Notified about Future Security Bulletins
References
Change History
2018/03/16 回避策を追記
2017/12/04 初版発行
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg22011257