IBM Support

【セキュリティ情報】IBM MQ および IBM MQ Appliance における SWEET32:誕生日攻撃 の脆弱性の影響について(CVE-2016-2183)

Created by Keiko Fukuda on
Published URL:
https://www.ibm.com/support/pages/node/293295
293295

Security Bulletin


Summary

IBM MQ および IBM MQ Appliance は、3DESアルゴリズムを使用するチャネルCipherSpecを使用すると、悪意のある第3者が機密情報を取得する可能性があります。影響を受けるCipherSpec は次のとおりです:
- TRIPLE_DES_SHA_US
- FIPS_WITH_3DES_EDE_CBC_SHA
- ECDHE_ECDSA_3DES_EDE_CBC_SHA256
- ECDHE_RSA_3DES_EDE_CBC_SHA256

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: IBM MQ and IBM MQ Appliance are vulnerable to SWEET32 Birthday attack (CVE-2016-2183)
http://www-01.ibm.com/support/docview.wss?uid=swg21995099

CVEID: CVE-2016-2183
DESCRIPTION: OpenSSLを使用すると、SSL / TLSプロトコルの一部として使用されるDES / 3DES暗号のエラーによって引き起こされる機密情報を、悪意のある第3者が取得する可能性があります。悪意のある第3者がこの脆弱性を利用して、大量の暗号化されたトラフィックを SSL / TLSサーバーとクライアント間でキャプチャし、平文データに複合し、機密情報を取得する可能性があります。この脆弱性はSWEET32 誕生日攻撃と呼ばれています。

CVSS Base Score: 3.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/116337 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

Affected Products and Versions

影響を受けるバージョンは次のとおりです:

  • IBM MQ
  • 9.0.0.0 and 9.0.1 only
  • IBM MQ Appliance
  • Maintenance levels between 8.0.0.0 and 8.0.0.5
  • IBM WebSphere MQ
  • Maintenance levels between 7.0.1.0 and 7.0.1.14
  • Maintenance levels between 7.1.0.0 and 7.1.0.8
  • Maintenance levels between 7.5.0.0 and 7.5.0.7
  • Maintenance levels between 8.0.0.0 and 8.0.0.5

Remediation/Fixes

IBM Websphere MQ V8.0 & IBM MQ Appliance V8.0

  • FixPack 8.0.0.6 をご適用ください。

Workarounds and Mitigations

全 MQバージョンで、代替CipherSpecに切り替えたり、秘密鍵のリセットを有効にすることで、この脆弱性を緩和することができます。

Resetting SSL/TLS secret keys

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended Fixes for WebSphere MQ
http://www.ibm.com/support/docview.wss?uid=swg27006037

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
MQ planned maintenance release dates
http://www.ibm.com/support/docview.wss?uid=swg27006309

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSYHRD","label":"IBM MQ"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"SSL","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"9.0.1;9.0;8.0;7.5;7.1;7.0.1","Edition":"All Editions","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21999690

Page Feedback