IBM Support

【セキュリティ情報】 IBM WebSphere Message Broker and IBM Integration BusへのRC4アルゴリズムの脆弱性の影響 (CVE-2015-2808)

Created by Makoto Tomota on
Published URL:
https://www.ibm.com/support/pages/node/264629
264629

Security Bulletin


Summary

SSL/TLS通信で使用される RC4 アルゴリズムの脆弱性 ("Bar Mitzvah"攻撃と呼ばれる) は、IBM WebSphere Message Broker and IBM Integration Busへ影響があります。

Vulnerability Details

脆弱性の詳細:

CVEID: CVE-2015-2808

DESCRIPTION: The RC4 algorithm, as used in the TLS protocol and SSL protocol, could allow a remote attacker to obtain sensitive information. An attacker could exploit this vulnerability to remotely expose account credentials without requiring an active man-in-the-middle session. Successful exploitation could allow an attacker to retrieve credit card data or other sensitive information. This vulnerability is commonly referred to as "Bar Mitzvah Attack".
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/101851 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Affected Products and Versions

影響のある製品・バージョン:

次の製品に影響があります。

・IBM Integration Bus V9 , V10

・WebSphere Message Broker V7, V8

・IBM Integration Toolkit V9

・WebSphere Message Broker Toolkit V7, V8

Remediation/Fixes

修正策:

有効な暗号スイートのデフォルトリストからRC4暗号スイートを削除する修正プログラムがのWebSphere Message Broker V7.0とV8.0(for IBM Java™ 6)で利用可能になっています。

製品バージョンAPAR修正
WebSphere Message BrokerV7.0IT08327 IBM Fix CentralからiFix IT08327を導入してください。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT08327

この修正は、Fix Pack 7.0.0.8 に含まれる予定です。
WebSphere Message Broker
V8.0
IT08327 IBM Fix CentralからiFix IT08327を導入してください。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT08327

この修正は、Fix Pack 8.0.0.7 に含まれる予定です。

Note: APAR IT03599 を導入し、MQv8サポートを有効にされている場合、
1. IT03599とともにJava 7 を使用されている場合、IT08327 を導入しないでください。
2. IBM Integration Bus V9, V10の回避策/軽減策に従う必要があります。

この変更により、互換性の問題が発生しないことをご確認お願いします。

Workarounds and Mitigations

回避策/軽減策:


IBM Integration Bus V9 and V10

a) IBM Integration Bus に同梱されているIBM Java 7 は、デフォルトでRC4が有効となっており、脆弱性が存在します。この脆弱性は、下記の"Java7 でRC4を無効にする方法"手順により、RC4を無効にすることにより、リスクを軽減できます。
RC4暗号を無効にした後、CBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。

b) WebSphere Message Brokerに同梱のDataDirect ODBC v7.xよりドライバを使用する場合、 ODBCドライバに同梱SSLライブラリが脆弱です。RC4暗号はデフォルトで許容可能な暗号リストに記載されています。この脆弱性の影響を緩和するには、下記の"DataDirectドライバでRC4を無効にする方法"のとおり、交渉暗号のリストからRC4暗号を除外するようにドライバを設定することができます。

WebSphere Message Broker V7 and V8



a) RC4暗号を無効にした後、CBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。

b) WebSphere Message Brokerに同梱のDataDirect ODBC v7.xよりドライバを使用する場合、 ODBCドライバに同梱SSLライブラリが脆弱です。RC4暗号はデフォルトで許容可能な暗号リストに記載されています。この脆弱性の影響を緩和するには、下記の[DataDirectドライバにRC4を無効にする方法]のとおり、交渉暗号のリストからRC4暗号を除外するようにドライバを設定することができます。

WebSphere Message Broker Toolkit V7 and V8



WebSphere Message BrokerToolkit V7.0とV8.0では、デフォルトでRC4暗合が無効となっているため、脆弱性の影響を受けません。
ブローカーのキューマネージャーに接続する場合、弱いexport-level暗合やRC4暗合を選択しないでください。
RC4暗合を有効にした場合、脆弱性の影響を受けます。

キューマネージャーに接続する場合、TLS暗合を使用する場合、APAR IT05725 を導入する必要があります。APAR IT05725 は Fix Pack 7.0.0.8, 8.0.0.5 Interim Fix 001 に含まれる予定です。

RC4暗合の代わりにCBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。

IBM Integration Toolkit V9

IBM Integration Toolkit V9.0では、デフォルトでRC4暗合が無効となっているため、脆弱性の影響を受けません。


ブローカーのキューマネージャーに接続する場合、弱いexport-level暗合やRC4暗合を選択しないでください。
RC4暗合を有効にした場合、脆弱性の影響を受けます。

キューマネージャーに接続する場合、TLS暗合を使用する場合、 APAR IT05429 を導入する必要があります。APAR IT05429 は IBM Integration Toolkit Version 9.0 Fix Pack 3 に含まれる予定です。

RC4暗合の代わりにCBC暗号を使用される場合、"CBC暗合の使用"の手順に従ってください。

Java7 でRC4を無効にする方法


java.securityファイルのjdk.tls.disabledAlgorithmsセキュリティプロパティによって定義された無効なアルゴリズムのリストにRC4を追加します。
例:

jdk.tls.disabledAlgorithms=SSLv3, RC4

java.securityファイルは、下記のロケーションにあります。

IBM Integration Bus V9:


<install>\jre17\lib\security\java.security

IBM Integration Toolkit V9


<install>\jdk\jre\lib\security\java.security

IBM Integration Bus V10 on Windows and LinuxX64:


<install>\common\jdk\jre\lib\security\java.security

IBM Integration Bus V10 not on Windows and LinuxX64:


<install>\common\jre\lib\security\java.security

DataDirectドライバでRC4を無効にする方法 (ODBC SSL 接続)

CipherList 接続オプションを使用します。

Option name: CipherList   (CL)

Default:  "DEFAULT", "ALL:!aNULL:!eNULL:!SSLv2"と同等

Format : https://www.openssl.org/docs/man1.1.0/apps/ciphers.html の"Cipher List Format" を参照ください

デフォルトの制限を維持しながら、RC4暗号を無効にするには、下記を設定する必要があります。


CipherList=DEFAULT:!RC4

CBC暗合の使用


RC4暗合を無効にした後、CBC暗合を使用する場合、BEASTのセキュリティの脆弱性CVE-2011-3389への脆弱性を回避するためにJVMシステムプロパティ jsse.enableCBCProtection を設定する必要があります。

JVMシステムプロパティの設定に関しては、下記リンクを参照ください。

http://www.ibm.com/support/knowledgecenter/SSYKE2_6.0.0/com.ibm.java.security.component.60.doc/security-component/jsse2Docs/beast.html

JVMシステムプロパティの設定方法は、いくつかの方法があります。

WebSphere Message Broker and IBM Integration Bus ランタイムの場合:


IBM_JAVA_OPTIONS=-Djsse.enableCBCProtection=true

_JAVA_OPTIONS=-Djsse.enableCBCProtection=true


Windows, Linux and UNIX® システムでは、コマンド環境のセットアップを実行します:


http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/an26190_.htm?cp=SSMKHH_9.0.0%2F0-6-2-2

z/OS システムでは、環境ファイルを作成します: http://www.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ae22465_.htm


すでにIBM_JAVA_OPTIONSまたは_JAVA_OPTIONS環境変数が次に設定されている場合は、スペースで始まる既存のパラメータの最後に新しいパラメータを追加する必要があります。

WebSphere Message Broker and IBM Integration Toolkitの場合:

toolkit の導入ディレクトリーのeclipse.iniファイルに下記の行を追加します:


-Djsse.enableCBCProtection=true

eclipse.iniファイルは、toolkit の導入ディレクトリーにあります。例:


c:\Program Files (x86)\IBM\WMBT800\eclipse.ini
c:\Program Files\IBM\IIB\10.0.0.0\tools\eclipse.ini


注意:サーバーまたはクライアントでRC4暗号のみ使用するように設定されている場合には、上記の設定は、後続のすべてのSSL接続を妨げることに注意してください。

上記の構成の変更により、互換性の問題が発生しないことを確認してください。RC4暗号を無効にしない場合、前述の攻撃を受ける可能性があります。お客様のすべての環境を見直し、RC4暗号を有効と環境を特定し、適切な緩和と改善措置を講じられることを推奨いたします。

Javaで使用可能なプロトコルリストは、下記に記載されています。
http://www.ibm.com/support/knowledgecenter/SSYKE2_7.0.0/com.ibm.java.security.component.70.doc/security-component/jsse2Docs/protocols.html

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off
.
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin : Vulnerability in RC4 stream cipher affects IBM WebSphere Message Broker and IBM Integration Bus (CVE-2015-2808)

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates

[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSKM8N","label":"WebSphere Message Broker"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"7.0;8.0","Edition":"","Line of Business":{"code":"LOB36","label":"IBM Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21903156