IBM Support

【セキュリティ情報】IBM Business Monitor SSLv3 の脆弱性 (CVE-2014-3566)

Created by Makoto Tomota on

Security Bulletin


Summary

SSL 3.0 (SSLv3) には、POODLE 攻撃が行われた場合、暗号化データを解読される脆弱性があります。
IBM Business Monitorでは、デフォルトでSSLv3が有効になっています。

Vulnerability Details

CVE-ID: CVE-2014-3566

内容:
IBM Business Monitor でSSL 3.0 (SSLv3) を有効にしていると、悪意のあるユーザーによる中間者攻撃 (man-in-the-middle attack) により、暗号化されたデータの内容が盗聴される危険性があります。
この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。

CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97013 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Affected Products and Versions

次の製品のバージョンで影響があります。 

  • WebSphere Business Monitor Version 7.0.0.x
  • WebSphere Business Monitor on zOS Version 7.0.0.x
  • WebSphere Business Monitor Hypervisor Edition Version 7.0.0.x
  • IBM Business Monitor Version 7.5.x
  • IBM Business Monitor Version 8.0.1.x
  • IBM Business Monitor Version 8.5.5

Remediation/Fixes

解決策:
IBM Business MonitorとWebSphere Business Monitorは、WebSphere Application ServerのHTTPS機能を使用しています。
SSLv3を無効化するために、IBM JDKのiFix を導入されることを推奨します。
FIXに関する情報は、下記のリンクの"Remediation/Fixes"セクションを参照してください。

Security Bulletin: Vulnerability in SSLv3 affects IBM WebSphere Application Server (CVE-2014-3566)


SSLv3プロトコルを可能にするような他のエリアを把握し、適切な処置(SSLv3を無効化するような)改善措置をとるために、お客様の全ての環境を見直すよう、IBMはお勧めいたします。

他の関連した製品がこの脆弱性の影響を受けることに注意してください。
WebSphere Business MonitorまたはIBM Business Monitorのためにフィックスを適用するために、Installation Manager バージョンン1.8 に更新されることをお勧めいたします。

サーバー側コンポーネントで完全にPOODLE脆弱性を軽減するためには、下記リンクの同梱版のBusiness Space の修正(JR51686)も必要になります:

WebSphere Business Monitor
IBM Business Monitor

Workarounds and Mitigations

回避策:
このSecurity Bulletinの"Remediation/Fixes"セクションで推奨されるFIXをインストールすることができない場合、下記のSecurity Bulletinの"Workarounds and Mitigations"セクションで記載されているSSLv3を無効化にする手順により、脆弱性を抑制することができます。

Security Bulletin: Vulnerability in SSLv3 affects IBM WebSphere Application Server
(CVE-2014-3566)

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SS7NQD","label":"IBM Business Monitor"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"8.5.5;8.0.1.3;8.0.1.2;8.0.1.1;8.0.1;8.0;7.5.1.2;7.5.1.1;7.5.1;7.5.0.1;7.5","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg21690731