IBM Support

【セキュリティ情報】IBM TXSeries for Multiplatforms TLSパディング脆弱性の影響
(CVE-2014-8730)

Created by Makoto Tomota on
Published URL:
https://www.ibm.com/support/pages/node/523295
523295

Security Bulletin


Summary

TXSeries for Multiplatformsでは、Transport Layer Security (TLS) でPOODLE (Padding Oracle On Downgraded Legacy Encryption)のような攻撃が行われた場合、暗号化データを解読される脆弱性の影響を受けます。

Vulnerability Details

脆弱性の詳細:
CVE-ID: CVE-2014-8730

内容:

Transport Layer Security (TLS) を使用する場合、接続終了時のCBCパディングバイトを適切にチェックしないため、Padding Oracle On Downgraded Legacy Encryption)のような攻撃を通して、機密情報を取得される脆弱性が存在します。



この脆弱性は、CVE-2014-3566 (別名 POODLE) と類似する問題です。

CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/99216 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Affected Products and Versions

次の製品で影響があります。


TXSeries for Multiplatforms V7.1, V8.1

Remediation/Fixes

修正FIX:

なし

Workarounds and Mitigations

回避策/軽減策:


TXSeries for Multiplatformsでは、オプションとしてIPIC通信プロトコルをSSL(TLS)を有効化する構成を提供しています。

TLSプロトコルを使用しているリージョンが確実に脆弱性を回避するために、下記の手順で環境変数 GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE を設定してください。


TXSeries for Multiplatforms V7.1


TXSeries for Multiplatforms V7.1を使用されている場合、Fixpack 4 以降にアップグレードする必要があります。

1. TXSeries リージョンの停止.

2. GSKit バージョン8 の構成がされていない場合、リージョンのenvironmentファイルに下記変数をセットしてください。  

    CICS_GSKIT_VERSION=8

既にGSKit バージョン8 を使用するように構成されている場合、ステップ3に進んでください。

(デフォルトでは、TXSeries 7.1 は、GSKit version 7.x をサポートしています。詳細は、TXSeriesインフォメーション・センターを参照してください。)

3. リージョンのenvironmentファイルに下記変数をセットしてください。

  GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE

4. TXSeries リージョンの再起動

TXSeries for Multiplatforms V8.1

1. TXSeries リージョンの停止

2. リージョンのenvironmentファイルに下記変数をセットしてください。

GSK_STRICTCHECK_CBCPADBYTES=GSK_TRUE

3. TXSeries リージョンの再起動

Get Notified about Future Security Bulletins

References

Off
.  
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: TLS padding vulnerability affects IBM TXSeries for Multiplatforms (CVE-2014-8730)

[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
Online Calculator V2 (日本語)

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSAL2T","label":"TXSeries for Multiplatforms"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"7.1;8.1","Edition":"","Line of Business":{"code":"LOB35","label":"Mainframe SW"}}]

Document Information

Modified date:
02 August 2018

UID

swg21693925