Security Bulletin
Summary
2014年6月5日にオープンソースの暗号通信ライブラリであるOpenSSL に、情報漏洩のセキュリティ脆弱性が報告されました。この脆弱性に関するWebSphereMQの影響を記載します。
Vulnerability Details
CVE-ID: CVE-2014-0224
OpenSSL には、Change Cipher Spec プロトコルの実装に脆弱性が存在します。
サーバとクライアントの間の SSL 通信が中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性があります。
CVSS Base Score: 5.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/93586 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:N)
CVE-ID: CVE-2014-3470
DESCRIPTION: OpenSSL is vulnerable to a denial of service, caused by the implementation of anonymous ECDH ciphersuites. A remote attacker could exploit this vulnerability to cause a denial of service.
OpenSSL には、匿名の ECDHを使用したサービス運用妨害(Denial of Service)による脆弱性が存在します。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/93589 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:N/A:P)
Affected Products and Versions
CVE-2014-0224の脆弱性は、次のコンポーネント(サポート・パック/Eclipseプロジェクト)を使用されている場合、影響があります。
- WebSphere MQ V5.3 for HP NonStop Server
- Support Pac MAT1 - WebSphere MQ client for HP Integrity NonStop Server
- Support Pac MA9B - IBM Mobile Messaging and M2M Client Pack - Eclipse Paho MQTT C Client libraries for Linux & Windows platforms only
CVE-2014-3470の脆弱性は、次のコンポーネント(サポート・パック/Eclipseプロジェクト)を使用されている場合、影響があります。
- Support Pac MA9B - IBM Mobile Messaging and M2M Client Pack - Eclipse Paho MQTT C Client libraries for Linux & Windows platforms only
Note : Paho MQTT C クライアント・ライブラリーは、IBM WebSphere MQ 7.1, 7.5 のLinux, Windowsプラットフォームでも提供されており、ユーザーがこのライブラリを使用している場合は影響があります。
下記の製品では、プラットフォーム、バージョン、リリースに関わらず影響がありません。
- IBM WebSphere MQ Client
- IBM WebSphere MQ Server
- IBM WebSphere MQ Managed File Transfer
- IBM WebSphere MQ Advanced Message Security
Remediation/Fixes
WebSphere MQ V5.3 for HP NonStop Server と Support Pac MAT1&MA9Bは、脆弱性の修正を含んだOpenSSL 1.0.1hを使用するように変更されました。
特に明記されていない限り、OpenSSL 1.0.1h が導入されているか、または、修正が必要かどうか確認するためにopenssll version コマンドを使用してください。
WebSphere MQ V5.3 for HP NonStop Server Integrity
- fixpack 5.3.1.10 以降を適用してください。(OpenSSL 1.0.1hを含みます)
WebSphere MQ V5.3 for HP NonStop Server S-Series
- WMQv5319-PATCH4 patch をIBMサポートから入手し、適用してください。(OpenSSL 0.9.7dを含みます).
このパッチはWMQv5319にのみ適用可能です。
- このpatch を適用後のシステムでは、HP社から提供されているvproc versioning ツールでは、、amqcctca およびamqcctca_r について T0085G06_12JUN2014_V53_1_9_PATCH4 と表示されます。
Support Pac MAT1 - WebSphere MQ client for HP Integrity NonStop Server
- client package を再導入してください。(リフレッシュイメージは、OpenSSL 1.0.1hを使用します)
Support Pac MA9B - IBM Mobile Messaging and M2M Client Pack - Eclipse Paho MQTT C Client libraries for Linux & Windows platforms only
- client package を再導入してください。(OpenSSL 1.0.1hを使用します)
- MQTTVersion コマンドでOpenSSLバージョンを確認できます。
Get Notified about Future Security Bulletins
References
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: WebSphere MQ is affected by the following OpenSSL vulnerabilities: CVE-2014-0224 & CVE-2014-3470
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
Complete CVSS Guide (英語)
On-line Calculator V2 (英語)
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21677029