IBM Support

【セキュリティ情報】 Communications Server for Data Center Deployment, Communications Server for AIX, Communications Server for Linux, and Communications Server for Linux on System z, Communications Server for WindowsへのRC4 アルゴリズムの脆弱性の影響 (CVE-2015-2808)

Created by Makoto Tomota on
Published URL:
https://www.ibm.com/support/pages/node/261851
261851

Security Bulletin


Summary

SSL/TLS通信で使用される RC4 アルゴリズムの脆弱性 ("Bar Mitzvah"攻撃と呼ばれる) はCommunications Server for Data Center Deployment, Communications Server for AIX, Communications Server for Linux, and Communications Server for Linux on System z, Communications Server for Windows への影響があります。

Vulnerability Details

脆弱性の詳細:

CVEID: CVE-2015-2808

DESCRIPTION: The RC4 algorithm, as used in the TLS protocol and SSL protocol, could allow a remote attacker to obtain sensitive information. An attacker could exploit this vulnerability to remotely expose account credentials without requiring an active man-in-the-middle session. Successful exploitation could allow an attacker to retrieve credit card data or other sensitive information. This vulnerability is commonly referred to as "Bar Mitzvah Attack".CVSS Base Score: 5CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/101851 for the current scoreCVSS Environmental Score*: UndefinedCVSS Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Affected Products and Versions

影響のある製品・バージョン:

次の製品に影響があります。

・Communications Server for Data Center Deployment, V7
・Communications Server for AIX, V6
・Communications Server for Linux, V6
・Communications Server for Linux on System z, V6

・Communications Server for Windows, V6

Remediation/Fixes

修正策:
できるだけ速やかに、FixCentralから修正を入手して適用してください。(Other softwareブランドから検索してください)

プロダクトIDとプロダクト名:
---------------------------------
5725H32 Communications Server for Data Center Deployment 7.0
-AIX プラットフォーム - APAR IV72283 を適用してください。
-Linux プラットフォーム - APAR LI78547 を適用してください。
-Linux on System z プラットフォーム - APAR LI78547 を適用してください。

5765E51 Communications Server for AIX V6.4
-AIX プラットフォーム - 6.4.0.5のレベルにAPAR IV72285 を適用してください。

5724I33 Communications Server for Linux V6.4
-Linux プラットフォーム - 6.4.0.5のレベルにAPAR LI78550 を適用してください。

5724I34 Communications Server for Linux on System z V6.4
-Linux プラットフォーム - 6.4.0.5のレベルにAPAR LI78551 を適用してください。

5639F25 Communications Server for Windows V6.4
-Windows プラットフォーム - 6.4.0.6のレベルにAPAR JR53091 を適用してください。

5639F25 Communications Server for Windows V6.1.3
- Windows プラットフォーム - 6.1.3.5のレベルにAPAR JR53098 を適用してください。

Communications Server for AIX, V6.3より以前のバージョンについては、 Communications Server for Data Center Deployment, V7へのアップグレードを推奨いたします。

Communications Server for Linux, V6.2より以前のバージョンについては、 Communications Server for Data Center Deployment, V7 へのアップグレードを推奨いたします。

Communications Server for Linux on System z, V6.2より以前のバージョンについては、Communications Server for Data Center Deployment, V7へのアップグレードを推奨いたします。

Communications Server for Windows, V6.1.2 より以前のバージョンについては、 Communications Server for Windows, V6.4 へのアップグレードを推奨いたします。

Workarounds and Mitigations

回避策/軽減策:

・Communications Server for Data Center Deployment, V7, Communications Server for AIX, V6.4, Communications Server for Linux V6.4, Communications Server for Linux on System z, V6.4, を使用されている場合

TN Server アクセス定義(tn3270_access)の"security_level" に下記のいずれかを定義することより脆弱性を軽減できます。

168 ビット暗号化(以上) -GUIから変更、SSL_168_BIT_MIN - sna_node.cfg ファイル定義

もしくは

256 ビット暗号化(以上) - GUIから変更、SSL_256_BIT_MIN - sna_node.cfg ファイル定義

・Communications Server for Windows, V6.4

TN3270 Server のポート構成の security_level を "high" に変更



この構成変更により、互換性の問題が発生しないことをご確認お願いします。RC4アルゴリズムの無効化しない場合上記の攻撃に晒される可能性があります。また、お客様の環境全体を精査いただき、RC4アルゴリズムが有効になっている領域を特定いただき、適切な緩和や修復アクションを実行されることを推奨いたします。

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSKK8Z","label":"Communications Server for Data Center Deployment"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Component":"All","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF016","label":"Linux"}],"Version":"7.0.0.0","Edition":"","Line of Business":{"code":"LOB35","label":"Mainframe SW"}}]

Document Information

Modified date:
03 August 2018

UID

swg21882922