Security Bulletin
Summary
WebSphere Message Brokerで提供されているIBM JRE 6 SR16より以前の IBM Java™ Runtime Environment コンポーネント および IBM Integration Busで提供されているJRE 7.0 SR7 より以前のIBM Java Runtime Environmentコンポーネントに複数のセキュリティ脆弱性が存在します。
これらの問題は、2014年7月にIBM Java SDK更新の一部として公開されました。
Vulnerability Details
内容: IBM WebSphere Message Broker および IBM Intetration Busで提供されているOracle JDKをベースにしたIBM Java Runtime Environmentコンポーネントに複数のセキュリティ脆弱性が存在します。
セキュリティ脆弱性の修正を含んだOracle critical patch がリリースに伴いIBM SDKも更新されます。
WebSphere Message Broker/IBM Integration Busへの影響
IBM WebSphere Message Broker および IBM Intetration BusでCVE-2014-4263の影響を受けます。
CVEID: CVE-2014-42
内容:IBM SDK には、"Diffie-Hellman key agreement" に関する処理に不備があるため、機密性、および完全性に影響のある脆弱性が存在します。
IBM SDK に含まれる脆弱性
以下は、IBM SDKに含まれる脆弱性の全リストです。
詳細は、References セクションを参照し、脆弱性の影響を評価してください。
CVE IDs:
IBM JRE 6.0 and IBM JRE 7.0で下記のCVEが修正されました。
CVE-2014-4227, CVE-2014-4262, CVE-2014-4219, CVE-2014-4209, CVE-2014-4268, CVE-2014-4218, CVE-2014-4252, CVE-2014-4265, CVE-2014-4263, CVE-2014-4244, CVE-2014-3086
IBM JRE 7.0のみ下記のCVEが該当し、修正されました。
CVE-2014-4220, CVE-2014-4266, CVE-2014-4221, CVE-2014-4208
Affected Products and Versions
次の製品、バージョンに影響があります。
IBM WebSphere Message Broker V7.0 and V8.0 および IBM Integration Bus V9.0 (IBM z/OSプラットフォームを除く)
Remediation/Fixes
-IBM WebSphere Message Broker V7.0 and V8.0
APAR IT03753 の interim fix がIBM Fix Centralで利用可能になっていますので、導入してください。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT03753
* APAR IT03753は、 IBM WebSphere Message Broker V7.0.0.8 and V8.0.0.6に含まれる予定です。
- IBM Integration Bus V9.0
APAR IT03751 の interim fix がIBM Fix Centralで利用可能になっていますので、導入してください。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/Integration+Bus&release=All&platform=All&function=aparId&apars=IT03751
* APAR IT03751は、IBM Integration Bus V9.0.0..3に含まれる予定です。(HPプラットフォームを除く)
* IBM Integration Bus for HPのFIXは、V9.0.0.4の修正に含まれる予定です。
Get Notified about Future Security Bulletins
References
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin for IBM Integration Bus and WebSphere Message Broker: Multiple security vulnerabilities in IBM JREs 6 & 7
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21685643