IBM Support

2016年10月 CPU で報告された IBM Java SDK の複数の脆弱性の WebSphere Application Server への影響 (CVE-2016-5573, CVE-2016-5597)

Created by Sanako Kawaguchi on
Published URL:
https://www.ibm.com/support/pages/node/286039
286039

Security Bulletin


Summary

WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が存在し、修正が公開されました。
それらの脆弱性については、WebSphere Application Server Traditional、 Liberty 、Hypervisor Editionに影響します。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。

Security Bulletin: Multiple vulnerabilities in IBMR Java SDK affects WebSphere Application Server October 2016 CPU (CVE-2016-5573, CVE-2016-5597)
http://www.ibm.com/support/docview.wss?uid=swg21993440

CVEID: CVE-2016-5573
DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。
CVSS Base Score: 8.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/118071 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
CVEID: CVE-2016-5597
DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/118071 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions

この脆弱性は、すべてのバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty において影響があります。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0
  • V7.0

Remediation/Fixes

お使いの環境に該当する個別修正 の適用、もしくは、それらを含むFix Packを適用してください。

V9.0 WebSphere Application Server:

バージョン対応策
V9.0.0.0~V9.0.0.1
-- または --
  • Fix Pack 9.0.0.2以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 9.0.0.2は、 2016年12月13日にリリース予定です。(2016/11/27時点)

V8.5/V8.0/7.0 WebSphere Application Server Traditional および Hypervisor Edition:

バージョン対応策
V8.5.0.0~V8.5.5.10- IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI71255 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 35 になります。
- IBM Java SDK 7.0 をお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI71254 を適用します。
    適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 9 Fix Pack 60 になります。
- IBM Java SDK 7.1 をお使いの場合:
  • Fix Pack 8.5.5.2以降にバージョンアップし、個別修正モジュールAPAR PI71253 を適用します。
    適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 3 Fix Pack 60 になります。
- IBM Java SDK 8.0 をお使いの場合:
  • Fix Pack 8.5.5.9以降にバージョンアップし、個別修正モジュールAPAR PI71250 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 3 Fix Pack 20 になります。
-- または --
  • Fix Pack 8.5.5.11で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 8.5.5.11は、 2016年12月23日にリリース予定です。(2016/11/27時点)
V8.0.0.0~V8.0.0.12
  • Fix Pack 8.0.0.7以降にアップデートし、個別修正モジュールAPAR PI71257 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 35 になります。

-- または --
  • Fix Pack 8.0.0.13以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 8.0.0.13は、 2017年2月20日にリリース予定です。(2016/11/27時点)
V7.0.0.0~V7.0.0.41
  • Fix Pack 7.0.0.31以降にアップデートし、個別修正モジュールAPAR PI71259 を適用します。
    適用後のバージョンは、IBM Java SDK 6 Service Refresh 8 Fix Pack 35 になります。

-- または --
  • Fix Pack 7.0.0.43以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 7.0.0.43は、 2017年2Qにリリース予定です。(2016/11/27時点)

WebSphere Application Server Liberty

バージョン対応策
V8.5.0.0~V16.0.0.3- IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI71256 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 35 になります。
- IBM Java SDK 7.0 をお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI71254 を適用します。
    適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 9 Fix Pack 60 になります。
- IBM Java SDK 7.1 をお使いの場合:
  • Fix Pack 8.5.5.2以降もしくは 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI71253 を適用します。
    適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 3 Fix Pack 60 になります。
- IBM Java SDK 8.0 をお使いの場合:
  • Fix Pack 8.5.5.5以降もしくは 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI71250 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 3 Fix Pack 20 になります。
- アーカイブ・ベースのLibertyをお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI71252 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 3 Fix Pack 20 になります。
-- または --
  • Fix Pack 16.0.0.4以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 16.0.0.4は、2016年12月13日にリリース予定です。(2016/11/27時点)

上記製品でサポートされていないバージョンをご利用のお客様に対しては、サポートされたバージョンで修正含まれた状態までアップデートし、ご利用いただくことをお勧めいたします。

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Java SDK","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0;7.0","Edition":"Base;Developer;Express;Liberty;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21994805