IBM Support

セキュリティ情報: Apache Commons の脆弱性 (CVE-2015-7450) に対する IBM Sterling B2B Integrator の修正

Created by Koichiro Okamoto on

Security Bulletin


Summary

Javaのデシリアライズ処理に関するApache Commons の脆弱性 (CVE-2015-7450)に対して IBM Sterling B2B Integrator の修正がリリースされています。この事象に対する回避策はございません。

Vulnerability Details

脆弱性の詳細:

CVEID: CVE-2015-7450
DESCRIPTION: Apache Commons Collections could allow a remote attacker to execute arbitrary code on the system, caused by the deserialization of data with Java InvokerTransformer class. By sending specially crafted data, an attacker could exploit this vulnerability to execute arbitrary Java code on the system.
CVSS Base Score: 9.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/107918 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Affected Products and Versions

影響のある製品・バージョン:

IBM Sterling B2B Integrator 5.2

Sterling Integrator 5.1

Remediation/Fixes

<si_install_dir> はSterling B2B Integratorがインストールされているディレクトリの完全パスです。
<temp_dir> - は当該脆弱性に対する修正が存在するディレクトリの完全パスです。

製品
バージョン
APAR
修正策
Sterling Integrator5.1IT12208
  1. commons-collections-3.2.2-bin.zip を Apache Commons Collection Download からダウンロードします。
  2. ダウンロードしたファイルを解凍し commons-collections-3.2.2.jar を探します。
  3. Sterling Integrator を停止します。
  4. commons-collections-3.2.2.jar を <si_install_dir>/jar/commons_collections/3_2_2 ディレクトリに保存します。
  5. Sterling Integratorのインストールディレクトリに移動します。
  6. properties ディレクトリに移動します。
  7. dynamicclasspath.cfg.in ファイルの先頭に以下の分を挿入します。
    VENDOR_JAR=<si_install_dir>/jar/commons_collections/3_2_2/commons-collections-3.2.2.jar.
  8. setupfiles.sh または setupfiles.cmd を実行します。
  9. Sterling Integrator を起動します。
IBM Sterling B2B Integrator5.2.0.0-5.2.5.0IT12208
  1. IBM Sterling B2B Integrator を 5.2.5.0 にアップグレードします。
  2. Fix Central からGeneric Interim Fix 5020500_10 をダウンロードし、適用します。
    注: もし 5020500_10 にアップグレードできない場合は、 Sterling Integrator 5.1 の手順に従ってください。
IBM Sterling B2B Integrator5.2.6.0IT12208
  1. commons-collections-3.2.2-bin.zip を Apache Commons Collection Download からダウンロードします。
  2. ダウンロードしたファイルを解凍し、 commons-collections-3.2.2.jar を探します。
  3. IBM Sterling B2B Integrator を停止します。
  4. commons-collections-3.2.2.jar を <si_install_dir>/jar/commons_collections/3_2_2 ディレクトリに保存します。
  5. Sterling B2B Integratorのインストールディレクトリに移動します。.
  6. properties ディレクトリに移動します。
  7. dynamicclasspath.cfg.in の先頭に以下の行を挿入します。
    VENDOR_JAR=<si_install_dir>/jar/commons_collections/3_2_2/commons-collections-3.2.2.jar.
  8. setupfiles.sh または setupfiles.cmd を実行します。
  9. IBM Sterling B2B Integrator を起動します。

    IBM Global Mailbox をご利用の場合は以下の手順も実施してください。
  10. 一時ディレクトリ (<temp_dir>) を作成します。
  11. WebSphere Liberty 8.5.5.6 アップデートパッケージ(wlp-base-embeddable-8.5.5.6.zip)をFix Centralから入手し、 <temp_dir> に保存します。
  12. GM の管理プロセスを停止します
    Linux環境では、<si_install_dir>/MailboxUtilities/bin/stopGMAdmin.sh を実行します。
    Windows環境では、 <si_install_dir>\MailboxUtilities\bin\stopGMAdmin.bat を実行します。
  13. WebSphere Liberty のルートディレクトリ (wlp) の名前を変更します。
    Linux環境では、 cd <si_install_dir>; mv wlp wlp-8.5.5.4 を実行します。
    Windows環境では、 cd <si_install_dir> の後 move wlp wlp-8.5.5.4 を実行します。
  14. WebSphere Liberty の新しいルートディレクトリを作成します。
    Linux環境では、 cd <si_install_dir>; mkdir wlp を実行します。
    Windows環境では、 cd <si_install_dir> の後 md wlp を実行します。
  15. wlp-base-embeddable-8.5.5.6.zip を新しいルートディレクトリに解凍します。
    Linux環境では、 unzip <temp_dir> wlp-base-embeddable-8.5.5.6.zip -d <si_install_dir>/wlp を実行します。
    Windows環境では、エクスプローラを使用して wlp-base-embeddable-8.5.5.6.zip を <si_install_dir>/wlp フォルダに解凍します。
  16. mailboxui ディレクトリ以下を wlp-8.5.5.4/usr/servers directory から新しい wlp/usr/servers ディレクトリにコピーします。
    Linux環境では、 cd <si_install_dir> の後 cp –R wlp-8.5.5.4/usr/servers/mailboxui wlp/usr/servers を実行します。
    Windows環境では、 cd <si_install_dir> の後 xcopy wlp-8.5.5.4\usr\servers\mailboxui wlp\usr\servers /s /e を実行します。
  17. Linux環境では、wlp/bin ディレクトリ以下のファイルの実行権限を chmod –R ug+x <si_install_dir>/wlp/bin コマンドでユーザーに付与します。
  18. 重要: <si_install_dir>/wlp-8.5.5.4 ディレクトリのバックアップを取ります。
  19. GM の管理プロセスを起動します。
    Linux環境では <si_install_dir>/MailboxUtilities/bin/startGMAdmin.sh を実行します。
    Windows環境では <si_install_dir>\MailboxUtilities\bin\startGMAdmin.bat を実行します。
  20. <si_install_dir>/wlp/usr/servers/mailboxui/logs/messages.log ファイルで更新が成功したことを確認します。ファイルの先頭に以下の行が出力されていれば成功です。
    **************************************************************
    ******************
    product = WebSphere Application Server 8.5.5.6 (wlp-1.0.9.cl50620150610-1749)

Workarounds and Mitigations

ありません。

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SS3JSW","label":"IBM Sterling B2B Integrator"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"5.2;5.1","Edition":"","Line of Business":{"code":"LOB59","label":"Sustainability Software"}}]

Document Information

Modified date:
16 June 2018

UID

swg21972214