2017年1月 CPU で報告された IBM Java SDK の複数の脆弱性の WebSphere Application Server への影響 (CVE-2016-5546, CVE-2016-5548, CVE-2016-5549, CVE-2016-5547, CVE-2016-2183)

Created by Kazuma Tanabe on Mon, 03/13/2017 - 01:34

Published URL:

https://www.ibm.com/support/pages/node/294089

294089

Security Bulletin

Summary

WebSphere Application Serverに同梱されているIBM Java SDKにいくつかの脆弱性が存在し、修正が公開されました。
それらの脆弱性については、WebSphere Application Server Traditional、 Liberty 、Hypervisor Editionに影響します。

Vulnerability Details

最新の情報については、下記URLの文書（英語）をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBMR Java SDK affects WebSphere Application Server January 2017 CPU
http://www.ibm.com/support/docview.wss?uid=swg21998379

CVEID: CVE-2016-5546 DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。 CVSS Base Score: 7.5 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120869 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)

CVEID: CVE-2016-5548 DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。 CVSS Base Score: 6.5 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120864 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

CVEID: CVE-2016-5549 DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。 CVSS Base Score: 6.5 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120863 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

CVEID: CVE-2016-5547 DESCRIPTION: 脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。 CVSS Base Score: 5.9 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120871 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-2183 DESCRIPTION: OpenSSLにおける暗号強度DES/3DESの脆弱性により、リモート攻撃者が機密情報を取得する可能性があります。通称：誕生日攻撃(Sweet32)の脆弱性 CVSS Base Score: 3.7 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/116337 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

Affected Products and Versions

この脆弱性は、すべてのバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty において影響があります。

V9.0
V8.5.5
V8.5
V8.0
V7.0

Remediation/Fixes

お使いの環境に該当する個別修正の適用、もしくは、それらを含むFix Packを適用してください。

V9.0 WebSphere Application Server Traditional:

バージョン	対応策
V9.0.0.0～V9.0.0.2	"分散オペレーティング・システムでの IBM SDK, Java Technology Edition のインストールと更新"を参照し、IBM Installation managerを用いて"WebSphere Application Server オファリング用のオンライン製品リポジトリー" にアクセスし、Fix Pack 9.0.0.3以降で提供されるIBM Java SDKへアップデートします。

V8.5/V8.0/7.0 WebSphere Application Server Traditional および Hypervisor Edition:

バージョン	対応策
V8.5.0.0～V8.5.5.11	- IBM Java SDK 6.1 (J9 2.6)をお使いの場合：個別修正モジュールAPAR PI76779 を適用します。適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 41 になります。 - IBM Java SDK 7.0 をお使いの場合： Fix Pack 8.5.5.0以降にバージョンアップし、個別修正モジュールAPAR PI76507 を適用します。適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 10 Fix Pack 1 になります。 - IBM Java SDK 7.1 をお使いの場合： Fix Pack 8.5.5.2以降にバージョンアップし、個別修正モジュールAPAR PI76505 を適用します。適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 4 Fix Pack 1 になります。 - IBM Java SDK 8.0 をお使いの場合： Fix Pack 8.5.5.9以降にバージョンアップし、個別修正モジュールAPAR PI76502 を適用します。適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 1 になります。 - IBM Java SDK 8.0を同梱したWASv8.5.5.11以降をインストールしお使いの場合：個別修正モジュールAPAR PI76503 を適用します。適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 1 になります。 -- または -- Fix Pack 8.5.5.12以降で提供されるIBM Java SDKへアップデートします。 * Fix Pack 8.5.5.12は、 2017年8月4日にリリース予定です。(2017/3/14時点)
V8.0.0.0～V8.0.0.13	個別修正モジュールAPAR PI76781 を適用します。適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 41 になります。 -- または -- Fix Pack 8.0.0.14以降で提供されるIBM Java SDKへアップデートします。 * Fix Pack 8.0.0.14は、 2017年10月16日にリリース予定です。(2017/3/14時点)
V7.0.0.0～V7.0.0.41	個別修正モジュールAPAR PI76782 を適用します。適用後のバージョンは、IBM Java SDK 6 Service Refresh 8 Fix Pack 41 になります。 -- または -- Fix Pack 7.0.0.43以降で提供されるIBM Java SDKへアップデートします。 * Fix Pack 7.0.0.43は、 2017年4月24日にリリース予定です。(2017/3/14時点)

WebSphere Application Server Liberty:

バージョン	対応策
V8.5.0.0～V16.0.0.3	- IBM Java SDK 6.1 (J9 2.6)をお使いの場合：個別修正モジュールAPAR PI76780 を適用します。適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 41 になります。 - IBM Java SDK 7.0 をお使いの場合： Fix Pack 8.5.5.0以降にバージョンアップし、個別修正モジュールAPAR PI76507 を適用します。適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 10 Fix Pack 1 になります。 - IBM Java SDK 7.1 をお使いの場合： Fix Pack 8.5.5.2以降、もしくはFix Pack 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI76505 を適用します。適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 4 Fix Pack 1 になります。 - IBM Java SDK 8.0 をお使いの場合： Fix Pack 8.5.5.5以降、もしくはFix Pack 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI76502 を適用します。適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 1 になります。 - アーカイブ・ベースのLibertyをお使いの場合： Fix Pack 8.5.5.1以降、もしくはFix Pack 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI76504 を適用します。適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 1 になります。 -- または -- Fix Pack 17.0.0.1以降で提供されるIBM Java SDKへアップデートします。

現在サポートされていないバージョンをお使いのお客様は、サポートされているバージョンまでアップグレードいただいた後、修正を適用いただくことをお勧めします。

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

IBM Java SDK Security Bulletin
IBM Java SDK Version 8 bundled with WebSphere Application Server

Change History

2017/03/15 初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Java SDK","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0;7.0","Edition":"Base;Developer;Express;Liberty;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Tips

2017年1月 CPU で報告された IBM Java SDK の複数の脆弱性の WebSphere Application Server への影響 (CVE-2016-5546, CVE-2016-5548, CVE-2016-5549, CVE-2016-5547, CVE-2016-2183)

Security Bulletin

Summary

Vulnerability Details

Affected Products and Versions

Remediation/Fixes

Get Notified about Future Security Bulletins

References

Change History

Disclaimer

Was this topic helpful?

Document Information

UID

Share your feedback

Need support?

Tips

2017年1月 CPU で報告された IBM Java SDK の複数の脆弱性の WebSphere Application Server への影響 (CVE-2016-5546, CVE-2016-5548, CVE-2016-5549, CVE-2016-5547, CVE-2016-2183)

Security Bulletin

Summary

Vulnerability Details

Affected Products and Versions

Remediation/Fixes

Get Notified about Future Security Bulletins

References

Related Information

Change History

Disclaimer

Was this topic helpful?

Document Information

UID

Share your feedback

Need support?