IBM Support

【セキュリティ情報】OpenSSLの脆弱性がIBM WebSphere MQ Advanced Message Security に与える影響について(CVE-2016-2177, CVE-2016-2178)

Created by Kazuhito Mizutani on
Published URL:
https://www.ibm.com/support/pages/node/294483
294483

Security Bulletin


Summary

OpenSSLプロジェクトから、OpenSSLの脆弱性が2016年9月22日、26日に公開されました。
IBM WebSphere MQ Advanced Message Security はIBM i プラットフォーム上でのみ、OpenSSLを使用しています。
このため IBM WebSphere MQ Advanced Message Security はこれらのCVEの影響を受けます。

最新の情報については下記の文書(英語)をご参照ください。
Security Bulletin: Vulnerabilities in OpenSSL affect IBM WebSphere MQ Advanced Message Security (CVE-2016-2177, CVE-2016-2178)
http://www.ibm.com/support/docview.wss?uid=swg21999724
 

Vulnerability Details


CVEID: CVE-2016-2177
DESCRIPTION: OpenSSLはサービス拒否を引き起こす脆弱性を含んでいます。
これはヒープ・バッファーのバウンダリー・チェックで用いられる、ポインタ演算子の不正な利用によって引き起こされます。
予期しないmallocを使用することで、リモートの攻撃者はこの脆弱性を悪用してintegerのオーバーフローを引き起こし、アプリケーションをクラッシュさせることができます。
CVSS Base Score: 5.9
CVSS Temporal Score: 現時点のスコアは以下のサイトを参照してください。https://exchange.xforce.ibmcloud.com/vulnerabilities/113890
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

CVEID: CVE-2016-2178
DESCRIPTION: OpenSSLはDSA実装に含まれるエラーによって、リモート攻撃者に重要な情報を与えてしまう可能性があります。このエラーは特定の操作を不特定の時間に許すため、攻撃者はこの脆弱性を悪用してキャッシュタイミング攻撃を使用し、DSA秘密鍵を取得することが可能です
CVSS Base Score: 5.3
CVSS Temporal Score: 現時点のスコアは以下のサイトを参照してください。 https://exchange.xforce.ibmcloud.com/vulnerabilities/113889
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Affected Products and Versions

IBM WebSphere MQ V8
8.0.0.0 から 8.0.0.5 までの保守バージョンが影響を受けます。

Remediation/Fixes

Fix Pack 8.0.0.6 以降へアップデートします。

Workarounds and Mitigations

回避策はございません

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended Fixes for WebSphere MQ
http://www.ibm.com/support/docview.wss?uid=swg27006037

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
MQ planned maintenance release dates
http://www.ibm.com/support/docview.wss?uid=swg27006309

Change History

2017年 3月13日:初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSFKSJ","label":"WebSphere MQ"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"WMQ Advanced Message Security","Platform":[{"code":"PF012","label":"IBM i"}],"Version":"8.0.0.5;8.0.0.4;8.0.0.3;8.0.0.2;8.0.0.1;8.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22000474

Page Feedback