Security Bulletin
Summary
IBM Integration Bus と WebSphere Message Brokerで使用されている IBM® SDK Java™ Technology Edition 7.1.4.10 とIBM® Runtime Environment Java™ 7.0.10.10 及び 7.1.4.10において複数の脆弱性があります。 これらの問題は、2017年7月のIBM Java SDKアップデートの一部として公開されました。
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM Integration Bus and WebSphere Message Broker
http://www-01.ibm.com/support/docview.wss?uid=swg22010090
Vulnerability Details
製品に付属のIBM Java Runtimeを使用して独自のJavaコードを実行する場合は、コードを評価して、以下の脆弱性リストが完全にコードに合てはまるかどうかを判断する必要があります。詳細については、「References」にある「IBM Java SDK Security Bulletin」を参照してください。
| CVEID: CVE-2017-10115 DESCRIPTION:Java SE、Java SE Embedded、JRockit JCEコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用して機密情報を取得し、高い機密性の影響を受ける可能性があります。 CVSS Base Score: 7.5 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128876 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CVEID: CVE-2017-10116 DESCRIPTION:Java SE、Java SE Embedded、JRockit Securityコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者がシステムを制御できる可能性があります。 CVSS Base Score: 8.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128877 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
| CVEID: CVE-2017-10108 DESCRIPTION:Java SE、Java SE Embedded、JRockit Serializationコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用してサービス不能を引き起こし、可用性に影響を与える可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128869 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2017-10109 DESCRIPTION:Java SE、Java SE Embedded、JRockit Serializationコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用してサービス不能を引き起こし、可用性に影響を与える可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128870 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) |
Affected Products and Versions
この脆弱性は、次の製品・バージョンにおいて影響を受けます。
IBM Integration Bus V9.0.0.0 - V9.0.0.8 及び V10.0.0.0 - V10.0.0.9
WebSphere Message Broker V8.0.0.0 - V8.0.0.9
WebSphere Message Broker V7.0.0.0 - V7.0.0.8
Remediation/Fixes
次の個別修正(iFix) もしくは、Fix Pack を導入してください。
| Product | VRMF | APAR | Remediation / Fix |
| IBM Integration Bus | V10.0.0.0 - V10.0.0.9 | IT21764 | 個別修正モジュールIT21764は fix pack 10.0.0.10 で有効です。 IBM Integration Bus V10.0 - Fix Pack 10.0.0.10 |
| IBM Integration Bus | V9.0.0.0 - V9.0.0.8 | IT21764 | 個別修正モジュールIT21764は fix pack 9.0.0.9 で有効です。 IBM Integration Bus V9.0 - Fix Pack 9.0.0.9 |
| WebSphere Message Broker | V8.0.0.0 - V8.0.0.9 | IT21764 | 個別修正モジュールIT21764 をIBMサポートにリクエストします。 |
| WebSphere Message Broker | V7.0.0.0 - V7.0.0.8 | IT21764 | 個別修正モジュールIT21764 をIBMサポートにリクエストします。 |
サポートの終了した製品を使用されている場合、サポートされているバージョンへアップグレードされることを推奨いたします。延長サポートを締結いただいており、個別修正が必要なお客様はIBMサポートに連絡してください。
Workarounds and Mitigations
回避策はございません。
Get Notified about Future Security Bulletins
References
Acknowledgement
なし
Change History
2017/11/15 下記URLの文書(英語)が作成されました。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM Integration Bus and WebSphere Message Broker
http://www-01.ibm.com/support/docview.wss?uid=swg22010090
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
23 March 2020
UID
swg22010659