Security Bulletin
Summary
SSL 3.0 (SSLv3) には、POODLE 攻撃が行われた場合、暗号化データを解読される脆弱性があります。
Communications Server for Data Center Deployment, Communications Server for AIX, Communications Server for Linux, Communications Server for Linux on System z.では、デフォルトでSSLv3が有効になっています。
Vulnerability Details
CVE-ID: CVE-2014-3566
内容:
SSL 3.0 (SSLv3) を有効にしていると、悪意のあるユーザーによる中間者攻撃 (man-in-the-middle attack) により、暗号化されたデータの内容が盗聴される危険性があります。
この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97013 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)
Affected Products and Versions
次の製品で影響があります。
Communications Server for Data Center Deployment, V7
Communications Server for AIX, V6
Communications Server for Linux, V6
Communications Server for Linux on System z, V6
Remediation/Fixes
なし
Workarounds and Mitigations
お客様環境でSSLv3 プロトコルを使用しているかご確認いただき、SSLv3 を無効化することをお勧めいたします。
注意:サーバーでSSLv3を無効化すると、クライアントにはTLS1.0の使用を要求します。しかしながら、クライアントがTLS1.0をサポートしていない場合、接続に失敗します。使用可能なプロトコルをご確認ください。
Communications Server levels 6.4.0.2 以降
SSLv3 を無効化するために、"environment"という名前のファイルを(AIX) /etc/sna もしくは (Linux) /etc/opt/ibm/sna に作成し、下記の行を記述してください。
export GSK_PROTOCOL_SSLV3=OFF
作成後、Communication Server を再起動してください。
この変更は将来のメンテナンス更新でも存続予定です。
Communications Server levels 6.4.0.1 以前
SSLv3 を無効化するために、(AIX) /usr/bin/sna もしくは (Linux) /opt/ibm/sna/bin/sna シェルスクリプトを編集します。"sna_commands"の行のすぐ上に下記の行を追加します。
export GSK_PROTOCOL_SSLV3=OFF
ファイルを保管し、Communication Server を再起動してください。
この変更は、メンテナンス更新を行うと有効でなくなりますのでご注意ください。
Get Notified about Future Security Bulletins
References
.
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Vulnerability in SSLv3 affects Communications Server for Data Center Deployment, Communications Server for AIX, Communications Server for Linux, and Communications Server for Linux on System z (CVE-2014-3566)
公開済みのフィックスパックについては、以下のサイトより参照いただけます。
Communications Server for Data Center Deployment v7 - Latest Fixpack
Communications Server (distributed platforms) v6.4 - Latest Fixpack
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
Online Calculator V2 (日本語)
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
03 August 2018
UID
swg21688106