Security Bulletin
Summary
SSL/TLS通信で使用される RC4 アルゴリズムの脆弱性 ("Bar Mitzvah"攻撃と呼ばれる) は、TXSeries for Multiplatforms へ影響があります。
Vulnerability Details
脆弱性の詳細:
CVEID: CVE-2015-2808
DESCRIPTION: The RC4 algorithm, as used in the TLS protocol and SSL protocol, could allow a remote attacker to obtain sensitive information. An attacker could exploit this vulnerability to remotely expose account credentials without requiring an active man-in-the-middle session. Successful exploitation could allow an attacker to retrieve credit card data or other sensitive information. This vulnerability is commonly referred to as "Bar Mitzvah Attack".
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/101851 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)
Affected Products and Versions
影響のある製品・バージョン:
次の製品に影響があります。
・TXSeries for Multiplatforms V7.1, V8.1 and V 8.2
Remediation/Fixes
修正策:
なし
Workarounds and Mitigations
回避策/軽減策:
TXSeries for Multiplatformsでは、IPIC通信プロトコルのSSLを有効にするオプションが提供されています。RC4ストリーム暗号は、デフォルトで有効となっています。
TXSeries V7.1.0.4以降でGSKit バージョン8.x を使用する場合、RC4 を無効化す設定することができます。RC4ストリーム暗号を無効化の手順は、次に記載いたします。
TXSeries for Multiplatforms V7.1
TXSeries for Multiplatforms V7.1のFixpack4 以降を導入する必要があります。Fixpack4以前のレベルでは、RC4ストリーム暗号の無効化することはサポートされていません。
RC4の無効化手順(TXSeries V7.1.0.4以降)
1. TXSeries リージョンの停止
2. GSKitバージョン8.x を使用するように構成していない場合、リージョンのenvironment に下記を設定してください。
CICS_GSKIT_VERSION=8
GSKit バージョン 8.x を使用するように既に構成している場合、ステップ3 に進んでください。
(TXSeries 7.1 のデフォルトではGSKit バージョン7.xをサポートしています。構成の詳細は、TXSeries Knowlege Center を参照してください。)
3. リージョンのenvironment に下記を設定してください。
CICS_SP800_131MODE=”SP800_131MODE”
この設定により、SSL FIPS processing modeを有効にし、RC4ストリーム暗号を無効化します。
4. TXSeries リージョンの再起動
TXSeries for Multiplatforms V8.1 and V8.2
RC4の無効化手順(TXSeries V8.1.0.0以降)
1. TXSeries リージョンの停止
2. リージョンのenvironment に下記を設定してください。
CICS_SP800_131MODE=”SP800_131MODE”
この設定により、SSL FIPS processing modeを有効にし、RC4ストリーム暗号を無効化します。
3. TXSeries リージョンの再起動
この構成変更により、互換性の問題が発生しないことをご確認お願いします。RC4アルゴリズムの無効化しない場合上記の攻撃に晒される可能性があります。また、お客様の環境全体を精査いただき、RC4アルゴリズムが有効になっている領域を特定いただき、適切な緩和や修復アクションを実行されることを推奨いたします。
Get Notified about Future Security Bulletins
References
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Vulnerability in RC4 stream cipher affects TXSeries for Multiplatforms. (CVE-2015-2808)
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
02 August 2018
UID
swg21883183