Security Bulletin
Summary
IBM WebSphere MQで提供されているグラフィカル・ユーザ・インタフェース・インストーラーに脆弱性があり、Windows検索パスに存在する悪意のあるDLLが、本物のファイルの代わりにオペレーティングシステムによってロードされる可能性があります。
この脆弱性は、IBMから2016年6月2日以前にダウンロードしたWindowsで実行可能なインストーラーに影響があります。
Vulnerability Details
脆弱性の詳細:
CVEID: CVE-2016-2542
DESCRIPTION: Flexera InstallShield could allow a remote attacker to execute arbitrary code on the system. The application does not directly specify the fully qualified path to a dynamic-linked library (schannel.dll) when running on Microsoft Windows. By persuading a victim to open a specially-crafted file from a WebDAV or SMB share using a vulnerable application, a remote attacker could exploit this vulnerability via a specially-crafted library to execute arbitrary code on the system.
CVSS Base Score: 7.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/110914 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
CVEID: CVE-2016-4560
DESCRIPTION: Flexera InstallAnywhere could allow a remote attacker to execute arbitrary code on the system. The application does not directly specify the fully qualified path to a dynamic-linked library when running on Microsoft Windows. By persuading a victim to open a specially-crafted file from a WebDAV or SMB share using a vulnerable application, a remote attacker could exploit this vulnerability via a specially-crafted library to execute arbitrary code on the system.
CVSS Base Score: 7.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/113016 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Affected Products and Versions
影響のある製品・バージョン:
この脆弱性は、下記のFix Pack と SupportPac の実行可能(.exeファイル拡張子)に影響があります。
- IBM WebSphere MQ for Windows (5.3 - All versions)
- IBM WebSphere MQ for Windows (6.0 - All versions)
- IBM WebSphere MQ for Windows (7.0.0.0 - 7.0.1.13)
- IBM WebSphere MQ for Windows (7.1.0.0 - 7.1.0.7)
- IBM WebSphere MQ for Windows (7.5.0.0 - 7.5.0.6)
- IBM WebSphere MQ for Windows (8.0.0.0 - 8.0.0.4)
- IBM WebSphere MQ Evaluation (8.0.0.0 - 8.0.0.4)
- IBM WebSphere MQ Evaluation (7.5.0.0 - 7.5.0.6)
- IBM WebSphere MQ Evaluation (7.1.0.0 - 7.1.0.7)
- IBM WebSphere MQ File Transfer Edition for Windows (V7.0.0.0 - V7.0.4.4)
- IBM WebSphere MQ File Transfer Edition Trial for Windows (V7.0.0.0 - V7.0.4.4)
- IBM WebSphere MQ Advanced Message Security for Windows (V7.0.1.0 - V7.0.1.3)
- IBM WebSphere MQ Advanced Message Security Trial for Windows (V7.0.1.0 - V7.0.1.3)
- IBM WebSphere MQ for HP NonStop Server V5.3 (Windows Installer V5.3.1.0)
- IBM WebSphere MQ Advanced for Developers (7.5.0.0 - 8.0.0.4)
- MS0T IBM WebSphere MQ Explorer (7.0.1.0 - 8.0.0.4)
- MQC7 IBM WebSphere MQ V7 Clients (All versions)
- MQC71 IBM WebSphere MQ V7.1 Clients (7.1.0.0 - 7.1.0.7)
- MQC75 IBM WebSphere MQ V7.5 Clients (7.5.0.0 - 7.5.0.6)
- MQC8 IBM WebSphere MQ V8 Clients (8.0.0.0 - 8.0.0.4)
2016年6月2日の前にIBMからダウンロードされたWindows環境のインストール・イメージを使用せず、新たにFix Central もしくは、Passport Advantage サイトからダウンロードください。
Remediation/Fixes
修正策:
悪意のあるDLLがオペレーティングシステムによってロードされることを防ぐ安全なインストーラを含んだFix Pack を下記サイトからダウンロードしてください。
- IBM WebSphere MQ for Windows (6.0.2.12)
- IBM WebSphere MQ for Windows (7.0.1.13)
- IBM WebSphere MQ for Windows (7.1.0.7)
- IBM WebSphere MQ for Windows (7.5.0.6)
- IBM WebSphere MQ for Windows (8.0.0.5)
- IBM WebSphere MQ File Transfer Edition for Windows (V7.0.4.5)
- IBM WebSphere MQ Advanced Message Security for Windows (V7.0.1.3)
- IBM WebSphere MQ for HP NonStop Server V5.3 (V5.3.1.0 Manufacturing Refresh)
- MS0T IBM WebSphere MQ Explorer (8.0.0.4)
- MQC71 IBM WebSphere MQ V7.1 Clients (7.1.0.7)
- MQC75 IBM WebSphere MQ V7.5 Clients (7.5.0.6)
- MQC8 IBM WebSphere MQ V8 Clients (8.0.0.5)
Fix Central もしくは Passport Advatage から新しい導入イメージをダウンロードしてください。
古いインストーラを使用しなければならない場合、下記の回避策/軽減策を参照ください。
Workarounds and Mitigations
回避策/軽減策:
このDLLの脆弱性は、実行可能インストーラ(.exeファイル拡張子)をグラフィカル・ユーザーインターフェースを対話式に実行するIBM WebSphere MQ for Windowsのみ影響を受けます。
msiexecを利用するIBM WebSphere MQの拡張インストール方法は、対話式グラフィカル・インタフェースとコマンド・ラインを使用した非対話式インストールどもにこの脆弱性の影響を受けません。
コマンド・ラインからmsiexecを使用して、導入するには、下記のコマンドを実行してください。
msiexec parameters [USEINI=" response-file "] [TRANSFORMS=" transform_file "]
このインストール方法は、setup.exeより優先して実行してください。詳細は、下記のRelated informationリンクを参照ください。
Get Notified about Future Security Bulletins
References
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Various IBM WebSphere MQ Installers are susceptible to DLL-planting vulnerabilities (CVE-2016-2542 & CVE-2016-4560)
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21984649