Security Bulletin
Summary
IBM WebSphere MQに含まれるGSKitに複数の脆弱性が存在します。FREAK(Factoring Attack on RSA-EXPORT keys)と呼ばれるTLS/SSL通信時の脆弱性を含みます。
Vulnerability Details
脆弱性の詳細:
CVEID: CVE-2014-6221
DESCRIPTION: Random Data Generation using GSKit MSCAPI/MSCNG Interface Code does not generate cryptographically random data. An attacker could use this weakness to gain complete confidentially and/or integrity compromise.
CVSS Base Score: 8.8
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/98929 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:C/I:C/A:N)
CVEID: CVE-2015-0138
DESCRIPTION: A vulnerability in various IBM SSL/TLS implementations could allow a remote attacker to downgrade the security of certain SSL/TLS connections. An IBM SSL/TLS client implementation could accept the use of an RSA temporary key in a non-export RSA key exchange ciphersuite. This could allow a remote attacker using man-in-the-middle techniques to facilitate brute-force decryption of TLS/SSL traffic between vulnerable clients and servers.
This vulnerability is also known as the FREAK attack.
CVSS Base Score: 4.3
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/100691 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N)
CVEID: CVE-2015-0159
DESCRIPTION: An unspecified error in GSKit usage of OpenSSL crypto function related to the production of incorrect results on some platforms by Bignum squaring (BN_sqr) has an unknown attack vector and impact in some ECC operations.
CVSS Base Score: 2.6
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/100835 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/Au:N/C:N/I:P/A:N)
Affected Products and Versions
影響のある製品・バージョン:
次の製品に影響があります。
IBM WebSphere MQ V7.0.1
- AIX, HP-UX, Linux, Solaris & Windows
IBM WebSphere MQ 7.1
- AIX, HP-UX, Linux, Solaris & Windows
IBM WebSphere MQ 7.5
- AIX, HP-UX, Linux, Solaris & Windows
IBM WebSphere MQ 8.0
- AIX, HP-UX, Linux, Solaris & Windows
IBM MQ Appliance M2000
Remediation/Fixes
修正策:
次のMQのCipherSpecのいずれかを使用するチャネル定義をより強力な暗号化アルゴリズムを使用するように変更することを推奨いたします。
- RC4_MD5_EXPORT
- TLS_RSA_EXPORT_WITH_RC4_40_MD5
- RC2_MD5_EXPORT
- TLS_RSA_EXPORT_WITH_RC2_40_MD5
Note : 今後FIPS 140-2に認定されていない、より弱いアルゴリズムの使用するMQ ChiferSpecは将来の製品メンテナンスで廃止される可能性があることに注意してください。現在利用可能なMQのCipherSpecのさらなる詳細をここから参照できます。
次の修正を導入してください。
IBM WebSphere MQ
Fix Central から iFix APAR IV70568 をダウンロードし、導入してください。
IBM MQ Appliance M2000
この修正が含まれるファームウェアはリリース済みですので、ファームウェアをアップデートしてください。詳細については、IBMサポートにお問い合わせください。
Workarounds and Mitigations
回避策/軽減策:
Note : IBM i の(すべてのリリース)用のIBM WebSphere MQはこれらの脆弱性のいずれかに影響されません。、しかし、システム値QSSLCSLにより EXPORT 暗号化アルゴリズムの使用を制限することをお勧めします。
他の分散プラットフォームでは、キュー・マネージャーでFIPSモードを有効にすると、インバウンド接続、アウトバウンド接続でのEXPORT暗号化アルゴリズムの使用を防ぎます。
MQチャネルプロトコルは、チャンネルSSLCIPHの検証を経て、セキュアソケットプロトコルおよび/または暗号スイートのマン・イン・ザ・ミドルグレードから保護します。
ハンドシェクの成功後、チャネル接続ではまずネゴシエーション処理が実施され、処理中にEXPORT暗号化アルゴリズムがないか検知します。もしも検知された場合は、チャネルはメッセージデータの送受信は行わず、接続を終了する前にキュー・マネージャーのエラー・ログにAMQ9631エラーを記録します。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Vulnerabilities in GSKit affect IBM WebSphere MQ (CVE-2015-0159, CVE-2015-0138 and CVE-2014-6221)
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21700423