【セキュリティ情報】IBM TXSeries for Multiplatforms Version 7.1 and 8.1へのSSL 3.0 の脆弱性の影響について (CVE-2014-3566)

Workarounds and Mitigations

TXSeries IPIC 接続でSSLを使用している場合のSSLv3 の無効化

TXSeries for Multiplatformsでは、オプションとしてIPIC通信プロトコルをSSLを有効化する構成を提供しています。
このシナリオでは、デフォルト・プロトコルは、SSL v3、TLS 1.0とTLS 1.1です。
TXSeries V7.1.0.4以降では、GSKit版8.xで構成を行っていれば、SSLV3を無効化することが可能です。
下記にSSLv3を無効化する手順を示します。

TXSeries for Multiplatforms V7.1

TXSeries for Multiplatforms V7.1を使用されている場合、Fixpack 4 以降にアップグレードする必要があります。その以前のFix Packレベルでは、SSLv3 の無効化はサポートされていません。

SSLv3 無効化の手順 (TXSeries V7.1.0.4 以降)

1. TXSeries リージョンの停止.

2. GSKit バージョン8 を使用されていない場合、リージョンのenvironmentファイルに下記変数をセットしてください。 　

　　　　　　　CICS_GSKIT_VERSION=8

既にGSKit バージョン8 を使用するように構成されている場合、ステップ3に進んでください。

(デフォルトでは、TXSeries 7.1 は、GSKit version 7.x をサポートしています。詳細は、TXSeriesインフォメーション・センターを参照してください。)

3. リージョンのenvironmentファイルに下記変数をセットしてください。

　　CICS_SP800_131MODE=”SP800_131MODE”

4. TXSeries リージョンの再起動

注：この設定によりTLS 1.2プロトコルをデフォルトとしセットし、SSL v3を無効化します。TLSプロトコル　TLS 1.0、TLS 1.1とTLS1.2だけコミュニケーションのために許可されます。

TXSeries for Multiplatforms V8.1

SSLv3 無効化の手順 (TXSeries V8.1.0.0 以降)

1. TXSeries リージョンの停止

2. リージョンのenvironmentファイルに下記変数をセットしてください。

CICS_SP800_131MODE=”SP800_131MODE”

3. TXSeries リージョンの再起動

注：この設定によりTLS 1.2プロトコルをデフォルトとしセットし、SSL v3を無効化します。TLSプロトコル　TLS 1.0、TLS 1.1とTLS1.2だけコミュニケーションのために許可されます。

“SP800_131MODE”の設定により、TLS処理を行います。詳細は、TXSeriesインフォメーション・センターを参照してください。

TXSeries Web 管理コンソール HTTPS モードのSSLv3の無効化

TXSeries Web管理コンソールは、HTTPSモードで動作するように構成することができます。このモードでは、SSLv3がデフォルトでセットされます。下記に、SSLv3を無効化し、Web管理コンソールをHTTPSモードで動作する手順を示します。

TXSeries for Multiplatforms V7.1

TXSeries　Web管理コンソールは、TXSeries Lightweight Infrastructure(LWI) WebServer　サーバーで動作します。

軽量インフラストラクチャのSSL構成は、<TXInstall-dir/wui>のconf　ディレクトリの config.propertiesとwebcontainer.properties ファイルで制御されます。
com.ibm.ssl.protocol　プロパティは、使われるプロトコルとしてTLSを指定する必要があります。

LWI WebServer でSSLv3 を無効化する手順

config.properties

config.properties ファイルに下記のように記述します。
# SSL support
com.ibm.pvc.webcontainer.ssl.configfile=../../conf/sslconfig
com.ibm.pvc.webcontainer.port.secure=443

webcontainer.properties
webcontainer.properties ファイルに下記のように記述します。

com.ibm.ssl.keyStorePassword.443=[xor] 9MW08GTL+uut1b0\=
com.ibm.ssl.clientAuthentication.443=false
com.ibm.ssl.trustStorePassword.443=[xor] 9MW08GTL+uut1b0\=
com.ibm.ssl.trustStore.443=../security/keystore/ibmjsse2.jts
sslEnabled=true
com.ibm.ssl.keyStore.443=../security/keystore/ibmjsse2.jks
# 使用するプロトコルを記述します
com.ibm.ssl.protocol.443=TLS

TXSeries for Multiplatforms V8.1

TXSeries Web管理コンソールとインバウンドSOAPサポートは、WebサーバーとしてIBM Websphere Application Server Liberty プロファイルを使用します。

Livertyプロファイルは、keystore 構成のためのSSL情報のみを提供し、残りのSSL情報はランタイム側によって構成することが可能です。最小構成は、server.xml で次のようにみえるかもしれません。

<keyStore id="defaultKeyStore" password="yourPassword" />

デフォルトSSL構成がSSLv3を使わないように、「ssl」要素を追加することができます。
ssl要素のsslProtocol属性にどんなプロトコルが使われるかに定義します。それにTLSをセットすると、デフォルトを上書きします。

<ssl id="defaultSSLConfig"
keyStoreRef="defaultKeyStore"
sslProtocol="TLS" />
<keyStore id="defaultKeyStore"
password="yourPassword" />


最小の構成の他にカスタムSSL構成を用いている場合、プロトコル要素はserver.xmlファイルの中にあるSSL要素ごとにセットされる必要があります。例；

<ssl id="myCustomSSLConfig"
keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore"
clientAuthentication="true"
sslProtocol="TLS" />


SSLv3プロトコルを可能にするような他のエリアを把握し、適切な処置（SSLv3を無効化するような）改善措置をとるために、お客様の全ての環境を見直すよう、IBMはお勧めいたします。