IBM Support

【セキュリティ情報】 IBM Integration Bus と WebSphere Message Brokerに影響を与える IBM Java Runtime における複数の脆弱性 (CVE-2017-10115/CVE-2017-10116/ CVE-2017-10108/CVE-2017-10109)

Created by Chizuko Mochizuki on
Published URL:
https://www.ibm.com/support/pages/node/299823
299823

Security Bulletin


Summary

IBM Integration Bus と WebSphere Message Brokerで使用されている IBM® SDK Java™ Technology Edition 7.1.4.10 とIBM® Runtime Environment Java™ 7.0.10.10 及び 7.1.4.10において複数の脆弱性があります。 これらの問題は、2017年7月のIBM Java SDKアップデートの一部として公開されました。

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM Integration Bus and WebSphere Message Broker
http://www-01.ibm.com/support/docview.wss?uid=swg22010090

Vulnerability Details

製品に付属のIBM Java Runtimeを使用して独自のJavaコードを実行する場合は、コードを評価して、以下の脆弱性リストが完全にコードに合てはまるかどうかを判断する必要があります。詳細については、「References」にある「IBM Java SDK Security Bulletin」を参照してください。

CVEID:  CVE-2017-10115
DESCRIPTION:Java SE、Java SE Embedded、JRockit JCEコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用して機密情報を取得し、高い機密性の影響を受ける可能性があります。
CVSS Base Score: 7.5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128876 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
IV98573: FIX SECURITY VULNERABILITY CVE-2017-10115


CVEID: CVE-2017-10116
DESCRIPTION:Java SE、Java SE Embedded、JRockit Securityコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者がシステムを制御できる可能性があります。
CVSS Base Score: 8.3
CVSS Temporal Score: See  https://exchange.xforce.ibmcloud.com/vulnerabilities/128877  for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
IV98572: FIX SECURITY VULNERABILITY CVE-2017-10116


CVEID: CVE-2017-10108
DESCRIPTION:Java SE、Java SE Embedded、JRockit Serializationコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用してサービス不能を引き起こし、可用性に影響を与える可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128869 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
IV98579: FIX SECURITY VULNERABILITY CVE-2017-10108


CVEID: CVE-2017-10109
DESCRIPTION:Java SE、Java SE Embedded、JRockit Serializationコンポーネントに関連するOracle Java SEの不特定の脆弱性により、認証されていない攻撃者が未知の攻撃ベクトルを使用してサービス不能を引き起こし、可用性に影響を与える可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/128870 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
IV98576: FIX SECURITY VULNERABILITY CVE-2017-10109

Affected Products and Versions

この脆弱性は、次の製品・バージョンにおいて影響を受けます。

IBM Integration Bus V9.0.0.0 - V9.0.0.8 及び V10.0.0.0 - V10.0.0.9
WebSphere Message Broker V8.0.0.0 - V8.0.0.9
WebSphere Message Broker V7.0.0.0 - V7.0.0.8

Remediation/Fixes

次の個別修正(iFix) もしくは、Fix Pack を導入してください。

Product VRMF APAR Remediation / Fix
IBM Integration Bus V10.0.0.0 - V10.0.0.9IT21764個別修正モジュールIT21764は fix pack 10.0.0.10 で有効です。
IBM Integration Bus V10.0 - Fix Pack 10.0.0.10
IBM Integration Bus V9.0.0.0 - V9.0.0.8IT21764個別修正モジュールIT21764は fix pack 9.0.0.9 で有効です。
IBM Integration Bus V9.0 - Fix Pack 9.0.0.9
WebSphere Message BrokerV8.0.0.0 - V8.0.0.9IT21764個別修正モジュールIT21764 をIBMサポートにリクエストします。
WebSphere Message BrokerV7.0.0.0 - V7.0.0.8IT21764個別修正モジュールIT21764 をIBMサポートにリクエストします。

サポートの終了した製品を使用されている場合、サポートされているバージョンへアップグレードされることを推奨いたします。延長サポートを締結いただいており、個別修正が必要なお客様はIBMサポートに連絡してください。

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

References

Off

Acknowledgement

なし

Change History

2017/11/15 下記URLの文書(英語)が作成されました。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM Integration Bus and WebSphere Message Broker
http://www-01.ibm.com/support/docview.wss?uid=swg22010090

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSNQK6","label":"IBM Integration Bus"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"10.0;9.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}},{"Product":{"code":"SSKM8N","label":"WebSphere Message Broker"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":" ","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"7.0;8.0","Edition":"","Line of Business":{"code":"LOB36","label":"IBM Automation"}}]

Document Information

Modified date:
23 March 2020

UID

swg22010659