Security Bulletin
Summary
IBM HTTP ServerのGSKitコンポーネントで2つの脆弱性 (CVE-2016-0201およびCVE-2015-7420) が報告されております。
Vulnerability Details
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Vulnerabilities in the GSKit component of IBM HTTP Server (CVE-2016-0201 and CVE-2015-7420)
http://www.ibm.com/support/docview.wss?uid=swg21974507
| CVEID: CVE-2016-0201 説明: IBM GSKit において、MD5 に対する衝突攻撃により、リモート攻撃者が機密情報を取得することが可能であるという問題が報告されました。攻撃者はこの脆弱性を利用して、認証クリデンシャルを取得する可能性があります。 CVSS Base Score (基本値): 5.9 CVSS Temporal Score (現状値): https://exchange.xforce.ibmcloud.com/vulnerabilities/109310 にて現状の値をご確認ください。 CVSS Environmental Score (環境値): Undefined (未評価) CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) (基本評価基準) |
| CVEID: CVE-2015-7420 説明: IBM GSKit において、リモート攻撃者が機密情報を取得することが可能であるという問題が報告されました。Webサーバーのfork()システム・コールにより親プロセスが持つGSKitの擬似乱数発生器 (PRNG)の状態が子プロセスに複製されます。そのため、親と複数の子の両方で同じ乱数列が生成される可能性があります。 CVSS Base Score (基本値): 3.7 CVSS Temporal Score (現状値): https://exchange.xforce.ibmcloud.com/vulnerabilities/107694 にて現状の値をご確認ください。 CVSS Environmental Score (環境値): Undefined (未評価) CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) (基本評価基準) |
Affected Products and Versions
WebSphere Application Serverに同梱している下記のバージョンのIBM HTTP Serverが影響を受けます。
- V8.5.5
- V8.5
- V8.0
Remediation/Fixes
CVE-2016-0201およびCVE-2016-7420の2つ脆弱性を修正する修正モジュールAPAR PI54962を適用します。もしくは該当のAPARを含むFix Packを適用します。
| バージョン | 対応策 |
| V8.5.0.0~V8.5.5.8 |
|
| V8.0.0.0~V8.0.0.12 |
|
Workarounds and Mitigations
回避策はございません。
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
Acknowledgement
none
Change History
2016/2/5: 初版公開
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
07 September 2022
UID
swg21976195