Security Bulletin
Summary
TXSeries for Multiplatformsでは、Transport Layer Security (TLS) でPOODLE (Padding Oracle On Downgraded Legacy Encryption)のような攻撃が行われた場合、暗号化データを解読される脆弱性の影響を受けます。
Vulnerability Details
脆弱性の詳細:
CVE-ID: CVE-2014-8730
内容:
Transport Layer Security (TLS) を使用する場合、接続終了時のCBCパディングバイトを適切にチェックしないため、Padding Oracle On Downgraded Legacy Encryption)のような攻撃を通して、機密情報を取得される脆弱性が存在します。
この脆弱性は、CVE-2014-3566 (別名 POODLE) と類似する問題です。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/99216 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)
Affected Products and Versions
次の製品で影響があります。
TXSeries for Multiplatforms V7.1, V8.1
Remediation/Fixes
修正FIX:
なし
Workarounds and Mitigations
回避策/軽減策:
TXSeries for Multiplatformsでは、オプションとしてIPIC通信プロトコルをSSL(TLS)を有効化する構成を提供しています。
TLSプロトコルを使用しているリージョンが確実に脆弱性を回避するために、下記の手順で環境変数 GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE を設定してください。
TXSeries for Multiplatforms V7.1
TXSeries for Multiplatforms V7.1を使用されている場合、Fixpack 4 以降にアップグレードする必要があります。
1. TXSeries リージョンの停止.
2. GSKit バージョン8 の構成がされていない場合、リージョンのenvironmentファイルに下記変数をセットしてください。
CICS_GSKIT_VERSION=8
既にGSKit バージョン8 を使用するように構成されている場合、ステップ3に進んでください。
(デフォルトでは、TXSeries 7.1 は、GSKit version 7.x をサポートしています。詳細は、TXSeriesインフォメーション・センターを参照してください。)
3. リージョンのenvironmentファイルに下記変数をセットしてください。
GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE
4. TXSeries リージョンの再起動
TXSeries for Multiplatforms V8.1
1. TXSeries リージョンの停止
2. リージョンのenvironmentファイルに下記変数をセットしてください。
GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE
3. TXSeries リージョンの再起動
Get Notified about Future Security Bulletins
References
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: TLS padding vulnerability affects IBM TXSeries for Multiplatforms (CVE-2014-8730)
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
Online Calculator V2 (日本語)
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
02 August 2018
UID
swg21693925