IBM Support

Security Bulletin: OpenSSLにある複数の脆弱性のWebSphere Message BrokerとIBM Integration Busへの影響について

Created by Masaru Shindoh on
Published URL:
https://www.ibm.com/support/pages/node/295259
295259

Security Bulletin


Summary

OpenSSLの脆弱性について、OpenSSL Projectより2016年 9月22日、9月26日、11月10日にそれぞれ公表されております。WebSphere Message BrokerならびにIBM Integration Busにて使用されているDataDirect ODBC ドライバーに対して該当するCVEがあり、対処しております。

Vulnerability Details

最新の情報は下記の文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities in OpenSSL affect WebSphere Message Broker and IBM Integration Bus
http://www.ibm.com/support/docview.wss?uid=swg22000536

CVEID: CVE-2016-6303
DESCRIPTION: OpenSSLは、MDC2_Update関数のintegerのオーバーフローによって引き起こされるサービス拒否に対する脆弱性です。未知の攻撃方法を使用することにより、外部の攻撃者はこの脆弱性を悪用して範囲外の書き込みをトリガーし、アプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/117023 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-2182
DESCRIPTION: OpenSSLは、crypto / bn / bn_print.cのTS_OBJ_print_bio関数の範囲外書き込みによって引き起こされるサービス拒否に対する脆弱性です。外部の攻撃者は、特別に細工された値を使用してこの脆弱性を悪用し、アプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/116342 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-2177
DESCRIPTION: OpenSSLは、ヒープバッファ境界チェックのためのポインタ算術の不正な使用によって引き起こされるサービス妨害に対する脆弱性です。予期せぬmallocの動作を利用することで、外部の攻撃者はこの脆弱性を悪用して、integerのオーバーフローを引き起こし、アプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/113890 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

CVEID: CVE-2016-2178
DESCRIPTION: OpenSSLにデジタル署名アルゴリズムの実装の脆弱性により、不特定のタイミングである特定の操作によって外部から機密情報が漏洩される可能性があります。


攻撃者は、キャッシュタイミング攻撃を使用してこの脆弱性を悪用してプライベートDSAキーを回復できてしまいます。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/113889 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

CVEID: CVE-2016-6306
DESCRIPTION: OpenSSLに、証明書の解析時にメッセージの長さチェックを誤ってしまい、サービス不能になってしまう脆弱性があります。



リモート認証された攻撃者は、この脆弱性を悪用して、範囲外の読み取りを引き起こし、サービス拒否を引き起こす可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/117112 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-2183
DESCRIPTION: OpenSSLにSSL / TLSプロトコルの一部として使用されるDES / 3DES暗号に問題があり、 外部攻撃者は機密情報を取得できてしまう可能性があります。大量の暗号化されたトラフィックをSSL / TLSサーバーとクライアントの間でキャプチャすることにより、中間者の攻撃を行うことができる外部攻撃者がこの脆弱性を利用して平文データに回復させ、機密情報を取得する可能性があります。この脆弱性はSWEET32 誕生日攻撃と呼ばれます。
CVSS Base Score: 3.7
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/116337 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

CVEID: CVE-2016-7055
DESCRIPTION: OpenSSLに、Broadwell固有のモンゴメリ乗算の問題によって引き起こされるサービス拒否の脆弱性があります。外部攻撃者は、特別に細工されたデータを送信することにより、この脆弱性を悪用して、複数のリモートクライアントが影響を受けるECアルゴリズムを選択し、サービス拒否を引き起こすような構成で公開キー操作のエラーを引き起こす可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/118748 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

Affected Products and Versions

次の製品・バージョンで影響があります。

IBM Integration Bus V9, V10

WebSphere Message Broker V8

Remediation/Fixes

製品名

バージョンAPARRemediation/Fix
IBM Integration Bus

V10
IT17992 Fixpack8にて修正されております。The APAR is available in fix pack 10.0.0.8
https://www.ibm.com/support/docview.wss?uid=swg24043443
IBM Integration Bus

V9
IT17992 Fixpack7にて修正されております。The APAR is available in fix pack 9.0.0.7
http://www-01.ibm.com/support/docview.wss?uid=swg24043227
WebSphere Message Broker V8IT17992 Interim fixが提供されております。IBM Fix Centralから入手できます。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT17992

Workarounds and Mitigations

ありません

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSNQK6","label":"IBM Integration Bus"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"10.0;9.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
23 March 2020

UID

swg22001040

Page Feedback