IBM Support

IBM HTTP ServerのGSKitコンポーネントにおける脆弱性について (CVE-2016-0201およびCVE-2015-7420)

Created by Takahiro Hanai on
Published URL:
https://www.ibm.com/support/pages/node/541105
541105

Security Bulletin


Summary

IBM HTTP ServerのGSKitコンポーネントで2つの脆弱性 (CVE-2016-0201およびCVE-2015-7420) が報告されております。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Vulnerabilities in the GSKit component of IBM HTTP Server (CVE-2016-0201 and CVE-2015-7420)
http://www.ibm.com/support/docview.wss?uid=swg21974507

CVEID: CVE-2016-0201
説明:
IBM GSKit において、MD5 に対する衝突攻撃により、リモート攻撃者が機密情報を取得することが可能であるという問題が報告されました。攻撃者はこの脆弱性を利用して、認証クリデンシャルを取得する可能性があります。
CVSS Base Score (基本値): 5.9
CVSS Temporal Score (現状値): https://exchange.xforce.ibmcloud.com/vulnerabilities/109310 にて現状の値をご確認ください。
CVSS Environmental Score (環境値): Undefined (未評価)
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) (基本評価基準)
CVEID: CVE-2015-7420
説明:
IBM GSKit において、リモート攻撃者が機密情報を取得することが可能であるという問題が報告されました。Webサーバーのfork()システム・コールにより親プロセスが持つGSKitの擬似乱数発生器 (PRNG)の状態が子プロセスに複製されます。そのため、親と複数の子の両方で同じ乱数列が生成される可能性があります。
CVSS Base Score (基本値): 3.7
CVSS Temporal Score (現状値): https://exchange.xforce.ibmcloud.com/vulnerabilities/107694 にて現状の値をご確認ください。
CVSS Environmental Score (環境値): Undefined (未評価)
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) (基本評価基準)

Affected Products and Versions

WebSphere Application Serverに同梱している下記のバージョンのIBM HTTP Serverが影響を受けます。

  • V8.5.5
  • V8.5
  • V8.0

Remediation/Fixes

CVE-2016-0201およびCVE-2016-7420の2つ脆弱性を修正する修正モジュールAPAR PI54962を適用します。もしくは該当のAPARを含むFix Packを適用します。

バージョン対応策
V8.5.0.0~V8.5.5.8
  • 個別修正モジュールAPAR PI54962 を適用します。
--または--
  • Fix Pack 8.5.5.9 以降を適用します。(2016/2/5現在、2016/3/18の出荷を予定しています。)
V8.0.0.0~V8.0.0.12
  • 個別修正モジュールAPAR PI54962 を適用します。
--または--
  • Fix Pack 8.0.0.13 以降を適用します。(2016/2/5現在、2016/10/24の出荷を予定しています。)

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

Acknowledgement

none

Change History

2016/2/5: 初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTJ","label":"IBM HTTP Server"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"8.5.5;8.5;8.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
07 September 2022

UID

swg21976195