Security Bulletin
Summary
IBM Integration Bus および WebSphere Message Brokerは、オープンソースApache Xerces-C XMLパーサーの脆弱性の影響を受けます。
Vulnerability Details
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Open Source Apache Xerces-C XML parser vulnerabilities affect IBM Integration Bus and WebSphere Message Broker (CVE-2016-4463, CVE-2016-0729)
http://www.ibm.com/support/docview.wss?uid=swg21985691
| CVEID: CVE-2016-0729 DESCRIPTION:Apache Xerces-C XMLパーサー ライブラリーで、処理中の不適切な境界チェックとエラー報告によって引き起こされるサービス運用妨害の脆弱性が報告されました。悪意のある第3者が、特別に細工された入力文書を送信することにより、ライブラリーをクラッシュさせたり、システム上で任意のコードを実行させる可能性があります。 CVSS Base Score: 7.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/111028 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L) |
| CVEID: CVE-2016-4463 DESCRIPTION:Apache Xerces-C XMLパーサー ライブラリーで、深くネストされたDTDを解析する際にスタックベースのバッファオーバーフローによって引き起こされるサービス運用妨害の脆弱性が報告されました。悪意のある第3者によりサービス拒否を引き起こす可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/114596 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) |
Affected Products and Versions
IBM Integration Bus V10 と V9
WebSphere Message Broker V8
Remediation/Fixes
DataDirectドライバーを使用する ODBC SSLのユーザー:
| Product | VRMF | APAR | Remediation/Fix |
| IBM Integration Bus | V10 | IT17046 | APARは、Fix Pack 10.0.0.7(ただしPPC-LEを除く)に含まれています。 https://www-304.ibm.com/support/docview.wss?uid=swg24043068 PPCLE の修正が必要な場合は、IBMサポートにご連絡下さい。 |
| IBM Integration Bus | V9 | IT17046 | APARは、Fix Pack 9.0.0.7 に含まれています。 http://www-01.ibm.com/support/docview.wss?uid=swg24043227 |
| WebSphere Message Broker | V8 | IT17046 | APARは、Fix Pack 8.0.0.8 に含まれています。 https://www-304.ibm.com/support/docview.wss?uid=swg24042925 |
サポートされていないバージョンの製品は、サポートされている修正済みのバージョン/リリース/プラットフォームの製品へアップグレードすることをお勧めします。
Workarounds and Mitigations
回避策はございません。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
Change History
6 December 2016 - Original version published
27 January 2017 - V9 fix links added
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Product Synonym
WMB IIB
Was this topic helpful?
Document Information
Modified date:
23 March 2020
UID
swg21998159