Security Bulletin
Summary
Diffie-Hellman (DH) 暗号を使用した TLSプロトコルに脆弱性が発見されました。(通称 Logjam)
TLS接続を行うWebSphere MQ Telemetry (MQXR)に影響があります。
TLS 接続を使用する場合、中間者攻撃により TLS 接続が暗号強度の低い輸出グレードの 512 ビット暗号に格下げされる問題があります。その結果、通信内容の盗聴や改ざんをされる可能性があります。
Vulnerability Details
脆弱性の詳細
CVEID: CVE-2015-4000
DESCRIPTION: The TLS protocol could allow a remote attacker to obtain sensitive information, caused by the failure to properly convey a DHE_EXPORT ciphersuite choice. An attacker could exploit this vulnerability using man-in-the-middle techniques to force a downgrade to 512-bit export-grade cipher. Successful exploitation could allow an attacker to recover the session key as well as modify the contents of the traffic. This vulnerability is commonly referred to as "Logjam".
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/103294 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)
Affected Products and Versions
影響のある製品・バージョン:
Telemetry (MQXR) が使用する暗号スイートは、次の製品で提供され、影響があります。
- IBM WebSphere MQ 7.1.0.6 以前
- IBM WebSphere MQ 7.5.0.5 以前
- IBM WebSphere MQ 8.0.0.2 以前
Remediation/Fixes
修正策:
WebSphere MQ 8.0.0.3以降では、影響を受ける暗号スイートが無効化されています。
Workarounds and Mitigations
回避策/軽減策:
影響を受けた暗号スイートをJavaランタイムによって使用されている暗号スイートを制限することにより、テレメトリー(MQXR)サービスで無効にすることができます。
国家安全保障局(NSA)Suite B暗号化
アメリカ政府は、データの暗号化など、ITシステムやセキュリティ上の技術的なアドバイスを行います
米国国家安全保障局(NSA)は、Suite Bスタンダードで一組の相互運用可能な暗号アルゴリズムを勧告します。
Suite Bスタンダードは、安全な暗号アルゴリズムの特定のセットのみが使用されている動作モードを指定します。下記のSuite Bスタンダードが指定されています。
・暗号化アルゴリズム(AES)
・鍵交換アルゴリズム(楕円曲線のDiffie-Hellmanの、またECDHとしても知られています)
・デジタル署名アルゴリズム(楕円曲線デジタル署名アルゴリズム、また、ECDSAとしても知られています)
・ハッシュアルゴリズム(SHA-256またはSHA-384)
以下の行を IBM WebSphere MQインストールディレクトリー配下の../mqxr/config サブディレクトリーの
java.propertiesファイルに加えることによリSuite B暗号アルゴリズムのみを許容するようにTelemetry(MQXR)サービスを構成します。
com.ibm.jsse2.suiteB=128
この構成の変更により、互換性の問題が発生しないことを確認してください。
修正プログラムを適用した後、デフォルトの設定を変更する場合は、上記の攻撃に受ける可能性があります。 また、TLSで使用したDiffie-Hellman鍵交換プロトコルを有効にしている他の領域を特定し、適切な緩和や修復アクションを実行するには、環境全体を確認することをお勧めします。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
参照情報:
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Vulnerability in Diffie-Hellman ciphers affects IBM WebSphere MQ Telemetry (CVE-2015-4000)
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg21959903