Security Bulletin
Summary
SSL/TLS通信で使用される RC4 アルゴリズムの脆弱性 ("Bar Mitzvah"攻撃と呼ばれる) は、IBM WebSphere Message Broker and IBM Integration Busへ影響があります。
Vulnerability Details
脆弱性の詳細:
CVEID: CVE-2015-2808
DESCRIPTION: The RC4 algorithm, as used in the TLS protocol and SSL protocol, could allow a remote attacker to obtain sensitive information. An attacker could exploit this vulnerability to remotely expose account credentials without requiring an active man-in-the-middle session. Successful exploitation could allow an attacker to retrieve credit card data or other sensitive information. This vulnerability is commonly referred to as "Bar Mitzvah Attack".
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/101851 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)
Affected Products and Versions
影響のある製品・バージョン:
次の製品に影響があります。
・IBM Integration Bus V9 , V10
・WebSphere Message Broker V7, V8
・IBM Integration Toolkit V9
・WebSphere Message Broker Toolkit V7, V8
Remediation/Fixes
修正策:
有効な暗号スイートのデフォルトリストからRC4暗号スイートを削除する修正プログラムがのWebSphere Message Broker V7.0とV8.0(for IBM Java™ 6)で利用可能になっています。
| 製品 | バージョン | APAR | 修正 |
| WebSphere Message Broker | V7.0 | IT08327 | IBM Fix CentralからiFix IT08327を導入してください。 http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT08327 この修正は、Fix Pack 7.0.0.8 に含まれる予定です。 |
| WebSphere Message Broker | V8.0 | IT08327 | IBM Fix CentralからiFix IT08327を導入してください。 http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT08327 この修正は、Fix Pack 8.0.0.7 に含まれる予定です。 Note: APAR IT03599 を導入し、MQv8サポートを有効にされている場合、 1. IT03599とともにJava 7 を使用されている場合、IT08327 を導入しないでください。 2. IBM Integration Bus V9, V10の回避策/軽減策に従う必要があります。 |
この変更により、互換性の問題が発生しないことをご確認お願いします。
Workarounds and Mitigations
回避策/軽減策:
IBM Integration Bus V9 and V10
a) IBM Integration Bus に同梱されているIBM Java 7 は、デフォルトでRC4が有効となっており、脆弱性が存在します。この脆弱性は、下記の"Java7 でRC4を無効にする方法"手順により、RC4を無効にすることにより、リスクを軽減できます。
RC4暗号を無効にした後、CBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。
b) WebSphere Message Brokerに同梱のDataDirect ODBC v7.xよりドライバを使用する場合、 ODBCドライバに同梱SSLライブラリが脆弱です。RC4暗号はデフォルトで許容可能な暗号リストに記載されています。この脆弱性の影響を緩和するには、下記の"DataDirectドライバでRC4を無効にする方法"のとおり、交渉暗号のリストからRC4暗号を除外するようにドライバを設定することができます。
WebSphere Message Broker V7 and V8
a) RC4暗号を無効にした後、CBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。
b) WebSphere Message Brokerに同梱のDataDirect ODBC v7.xよりドライバを使用する場合、 ODBCドライバに同梱SSLライブラリが脆弱です。RC4暗号はデフォルトで許容可能な暗号リストに記載されています。この脆弱性の影響を緩和するには、下記の[DataDirectドライバにRC4を無効にする方法]のとおり、交渉暗号のリストからRC4暗号を除外するようにドライバを設定することができます。
WebSphere Message Broker Toolkit V7 and V8
WebSphere Message BrokerToolkit V7.0とV8.0では、デフォルトでRC4暗合が無効となっているため、脆弱性の影響を受けません。
ブローカーのキューマネージャーに接続する場合、弱いexport-level暗合やRC4暗合を選択しないでください。
RC4暗合を有効にした場合、脆弱性の影響を受けます。
キューマネージャーに接続する場合、TLS暗合を使用する場合、APAR IT05725 を導入する必要があります。APAR IT05725 は Fix Pack 7.0.0.8, 8.0.0.5 Interim Fix 001 に含まれる予定です。
RC4暗合の代わりにCBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。
IBM Integration Toolkit V9
IBM Integration Toolkit V9.0では、デフォルトでRC4暗合が無効となっているため、脆弱性の影響を受けません。
ブローカーのキューマネージャーに接続する場合、弱いexport-level暗合やRC4暗合を選択しないでください。
RC4暗合を有効にした場合、脆弱性の影響を受けます。
キューマネージャーに接続する場合、TLS暗合を使用する場合、 APAR IT05429 を導入する必要があります。APAR IT05429 は IBM Integration Toolkit Version 9.0 Fix Pack 3 に含まれる予定です。
RC4暗合の代わりにCBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。
Java7 でRC4を無効にする方法
java.securityファイルのjdk.tls.disabledAlgorithmsセキュリティプロパティによって定義された無効なアルゴリズムのリストにRC4を追加します。
例:
jdk.tls.disabledAlgorithms=SSLv3, RC4
java.securityファイルは、下記のロケーションにあります。
IBM Integration Bus V9:
<install>\jre17\lib\security\java.security
IBM Integration Toolkit V9
<install>\jdk\jre\lib\security\java.security
IBM Integration Bus V10 on Windows and LinuxX64:
<install>\common\jdk\jre\lib\security\java.security
IBM Integration Bus V10 not on Windows and LinuxX64:
<install>\common\jre\lib\security\java.security
DataDirectドライバでRC4を無効にする方法 (ODBC SSL 接続)
CipherList 接続オプションを使用します。
Option name: CipherList (CL)
Default: "DEFAULT", "ALL:!aNULL:!eNULL:!SSLv2"と同等
Format : https://www.openssl.org/docs/man1.1.0/apps/ciphers.html の"Cipher List Format" を参照ください
デフォルトの制限を維持しながら、RC4暗号を無効にするには、下記を設定する必要があります。
CipherList=DEFAULT:!RC4
CBC暗合の使用
RC4暗合を無効にした後、CBC暗合を使用する場合、BEASTのセキュリティの脆弱性CVE-2011-3389への脆弱性を回避するためにJVMシステムプロパティ jsse.enableCBCProtection を設定する必要があります。
JVMシステムプロパティの設定に関しては、下記リンクを参照ください。
JVMシステムプロパティの設定方法は、いくつかの方法があります。
WebSphere Message Broker and IBM Integration Bus ランタイムの場合:
- 下記に従ってごとの実行グループごとに、mqsichangepropertiesを使用してjvmSystemPropertyを設定します:http://www.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/an09143_.htm
- 環境変数IBM_JAVA_OPTIONS(SolarisまたはHPのシステムで_JAVA_OPTIONS)を設定することにより、ブローカーまたはマシン全体に設定します:
IBM_JAVA_OPTIONS=-Djsse.enableCBCProtection=true
_JAVA_OPTIONS=-Djsse.enableCBCProtection=true
Windows, Linux and UNIX® システムでは、コマンド環境のセットアップを実行します:
http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/an26190_.htm?cp=SSMKHH_9.0.0%2F0-6-2-2
z/OS システムでは、環境ファイルを作成します: http://www.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ae22465_.htm
すでにIBM_JAVA_OPTIONSまたは_JAVA_OPTIONS環境変数が次に設定されている場合は、スペースで始まる既存のパラメータの最後に新しいパラメータを追加する必要があります。
WebSphere Message Broker and IBM Integration Toolkitの場合:
toolkit の導入ディレクトリーのeclipse.iniファイルに下記の行を追加します:
-Djsse.enableCBCProtection=true
eclipse.iniファイルは、toolkit の導入ディレクトリーにあります。例:
c:\Program Files (x86)\IBM\WMBT800\eclipse.ini
c:\Program Files\IBM\IIB\10.0.0.0\tools\eclipse.ini
注意:サーバーまたはクライアントでRC4暗号のみ使用するように設定されている場合には、上記の設定は、後続のすべてのSSL接続を妨げることに注意してください。
上記の構成の変更により、互換性の問題が発生しないことを確認してください。RC4暗号を無効にしない場合、前述の攻撃を受ける可能性があります。お客様のすべての環境を見直し、RC4暗号を有効と環境を特定し、適切な緩和と改善措置を講じられることを推奨いたします。
Javaで使用可能なプロトコルリストは、下記に記載されています。
http://www.ibm.com/support/knowledgecenter/SSYKE2_7.0.0/com.ibm.java.security.component.70.doc/security-component/jsse2Docs/protocols.html
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin : Vulnerability in RC4 stream cipher affects IBM WebSphere Message Broker and IBM Integration Bus (CVE-2015-2808)
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21903156