Security Bulletin
Summary
WebSphere Message Brokerで提供されているIBM JRE 6 SR16より以前の IBM Java™ Runtime Environment コンポーネント および IBM Integration Busで提供されているJRE 7.0 SR7 より以前のIBM Java Runtime Environmentコンポーネントに複数のセキュリティ脆弱性が存在します。
また、この修正は、SSL3のPadding Oracle On Downgraded Legacy Encryption (POODLE) 脆弱性のJDKの修正を含みます。
これらの問題は、2014年10月にIBM Java SDK更新の一部として公開されました。
Vulnerability Details
IBM WebSphere Message Broker および IBM Intetration Busで提供されているOracle JDKをベースにしたIBM Java Runtime Environmentコンポーネントに複数のセキュリティ脆弱性が存在します。
セキュリティ脆弱性の修正を含んだOracle critical patch がリリースに伴いIBM SDKも更新されます。
WebSphere Message Broker/IBM Integration Busに影響のある脆弱性
次の脆弱性がIBM Integration Bus and WebSphere Message Broker に影響があります。
CVE-2014-6457, CVE-2014-6558, CVE-2014-3065, CVE-2014-3566
ブローカーにでデプロイされているJavaコードによっては、以下のリストの脆弱性の影響を受けるかもしれません。
CVE-2014-6511, CVE-2014-6512, CVE-2014-6468, CVE-2014-3566
CVE-ID: CVE-2014-6457
DESCRIPTION: An unspecified vulnerability related to the JSSE component has partial confidentiality impact, partial integrity impact, and no availability impact.
CVSS Base Score: 4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97148 for the current score
IBM Confidential
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/Au:N/C:P/I:P/A:N)
CVE-ID: CVE-2014-6558
DESCRIPTION: An unspecified vulnerability related to the Security component has no confidentiality impact, partial integrity impact, and no availability impact.
CVSS Base Score: 2.6
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97151 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/Au:N/C:N/I:P/A:N)
CVE-ID: CVE-2014-3065
DESCRIPTION: IBM Java SDK contains a vulnerability in which the default configuration for the shared classes feature potentially allows arbitrary code to be injected into the shared classes cache, which may subsequently be executed by other local users.
CVSS Base Score: 6
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/93629 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:L/AC:H/Au:S/C:C/I:C/A:C)
CVE-ID: CVE-2014-6511
DESCRIPTION: An unspecified vulnerability related to the 2D component could allow a remote attacker to obtain sensitive information.
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97140 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)
CVE-ID: CVE-2014-6512
DESCRIPTION: An unspecified vulnerability related to the Libraries component has no confidentiality impact, partial integrity impact, and no availability impact.
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97147 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N)
CVSS CVE-ID: CVE-2014-6468
DESCRIPTION: An unspecified vulnerability related to the Hotspot component has complete confidentiality impact, complete integrity impact, and complete availability impact.
CVSS Base Score: 6.9
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97138 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:L/AC:M/Au:N/C:C/I:C/A:C)
CVE-ID: CVE-2014-3566
DESCRIPTION: Product could allow a remote attacker to obtain sensitive information, caused by a design error when using the SSLv3 protocol. A remote user with the ability to conduct a man-in-the-middle attack could exploit this vulnerability via a POODLE (Padding Oracle On Downgraded Legacy Encryption) attack to decrypt SSL sessions and access the plaintext of encrypted connections.
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97013 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)
SSLv3プロトコルを可能にするような他のエリアを把握し、適切な処置(SSLv3を無効化するような)改善措置をとるために、お客様の全ての環境を見直すよう、IBMはお勧めいたします。
SSLv3 を無効化した場合、互換性の問題が生じないことを確認してくだい。
IBM SDKで修正された脆弱性
以下は、IBM SDKに含まれる脆弱性のリストです。
脆弱性の影響を受けるかどうかあなた自身のコードを評価する必要があります。詳細はReferenceセクションを参照ください。
CVE-IDs:
CVE-2014-6513 CVE-2014-6562 CVE-2014-6546 CVE-2014-6503 CVE-2014-6532 CVE-2014-4288 CVE-2014-6493 CVE-2014-6492 CVE-2014-6458 CVE-2014-6466 CVE-2014-6468 CVE-2014-6506 CVE-2014-6476 CVE-2014-6515 CVE-2014-6519 CVE-2014-6511 CVE-2014-6517 CVE-2014-6504 CVE-2014-6531 CVE-2014-6512 CVE-2014-6457 CVE-2014-6527 CVE-2014-6502 CVE-2014-6558 CVE-2014-3065 CVE-2014-3566
Affected Products and Versions
次の製品に影響があります。(IBM zOSプラットフォームを除く)
-WebSphere Message Broker V7.0, V8.0
-IBM Integration Bus V9.0
Remediation/Fixes
修正策:
| 製品 | VRMF | APAR | 修正FIX |
| IBM Integration Bus | V9.0 | IT05546 | IBM Fix セントラルからiFix IT05546を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT05546 この修正は、Fix Pack 9.0.0.4 に含まれる予定です。 |
| WebSphere Message Broker | V8.0 | IT05913 | IBM Fix セントラルからiFix IT05913を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT05913 この修正は、Fix Pack 8.0.0.6 に含まれる予定です。 |
| WebSphere Message Broker | V7.0 | IT05913 | IBM Fix セントラルからiFix IT05913を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT05913 この修正は、Fix Pack 7.0.0.8 に含まれる予定です。 |
Get Notified about Future Security Bulletins
References
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin for IBM Integration Bus and WebSphere Message Broker: Multiple security vulnerabilities in IBM JREs 6 & 7
参考:
【セキュリティ情報】IBM Websphere Message Broker, IBM Integration Bus Messaging SSL 3.0 の脆弱性の影響について (CVE-2014-3566)
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21692799