Security Bulletin
Summary
WebSphere Message Brokerで提供されているIBM® Runtime Environment Java™ Technology Editions 6.0.16.16(およびそれ以前の保守レベル)と、IBM Integration Busで提供されているIBM® Runtime Environment Java™ Technology Editions 7.0.9.20(およびそれ以前の保守レベル) もしくは、7.1.3.20(およびそれ以前の保守レベル)のIBM Java Runtime Environmentコンポーネントに複数のセキュリティ脆弱性が存在します。
これらの問題は、2016年1月にIBM Java SDK更新の一部として公開されました。この修正には、"SLOTH"と呼ばれる脆弱性を含みます。
Vulnerability Details
脆弱性の詳細:
次の脆弱性の修正が含まれます。
CVEID: CVE-2016-0494
DESCRIPTION: An unspecified vulnerability in Oracle Java SE and Java SE Embedded related to the 2D component has complete confidentiality impact, complete integrity impact, and complete availability impact.
CVSS Base Score: 10
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109944 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)
CVEID: CVE-2016-0483
DESCRIPTION: An unspecified vulnerability in Oracle Java SE Java SE Embedded and Jrockit related to the AWT component has complete confidentiality impact, complete integrity impact, and complete availability impact.
CVSS Base Score: 10
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109945 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)
CVEID: CVE-2015-8472
DESCRIPTION: libpng is vulnerable to a buffer overflow, caused by improper bounds checking by the png_get_PLTE() and png_set_PLTE() functions. By persuading a victim to open a specially crafted PNG image, a remote attacker could overflow a buffer and execute arbitrary code on the system or cause the application to crash.
CVSS Base Score: 6.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109392 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)
CVEID: CVE-2016-0475
DESCRIPTION: An unspecified vulnerability in Oracle Java SE Java SE Embedded and Jrockit related to the Libraries component has partial confidentiality impact, partial integrity impact, and no availability impact.
CVSS Base Score: 5.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109946 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:N)
CVEID: CVE-2016-0466
DESCRIPTION: An unspecified vulnerability in Oracle Java SE Java SE Embedded and Jrockit related to the JAXP component could allow a remote attacker to cause a denial of service resulting in a partial availability impact using unknown attack vectors.
CVSS Base Score: 5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109948 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:P)
CVEID: CVE-2015-7575
DESCRIPTION: The TLS protocol could allow weaker than expected security caused by a collision attack when using the MD5 hash function for signing a ServerKeyExchange message during a TLS handshake. An attacker could exploit this vulnerability using man-in-the-middle techniques to impersonate a TLS server and obtain credentials. This vulnerability is commonly referred to as “SLOTH”.
CVSS Base Score: 7.1
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/109415 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)
Affected Products and Versions
影響のある製品・バージョン:
次の製品に影響があります。
- IBM Integration Bus V10, V9
- WebSphere Message Broker V8
- IBM Integration Toolkit V9
- WebSphere Message Broker Toolkit V8
Remediation/Fixes
修正策:
| 製品 | VRMF | APAR | 修正 |
| IBM Integration Bus | V10 | IT13254 | IBM Fix CentralからiFix IT13254を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/Integration+Bus&release=All&platform=All&function=aparId&apars= IT13254 この修正は、Fix Pack 10.0.0.4 に含まれる予定です。 |
| IBM Integration Bus | V9 | IT13254 | IBM Fix CentralからiFix IT132541を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/Integration+Bus&release=All&platform=All&function=aparId&apars= IT13254 . この修正は、Fix Pack 9.0.0.6 に含まれる予定です。 |
| WebSphere Message Broker (with APAR IT03599 applied*) | V8 | IT13254 | IBM Fix CentralからiFix IT13254 を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars= IT13254 *IT13254 は、下記のV8.0ユーザーが対象です。 - APAR IT03599 を導入している - もしくは、IT03599 を含んだFix Packを導入している この修正は、Fix Pack 8.0.0.7 に含まれる予定です。 |
| WebSphere Message Broker (with APAR IT03599 not applied**) | V8 | IT13380 | IBM Fix CentralからiFix IT13380を導入してください。(HPプラットフォームを除くすべてのプラットフォーム) http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT13380 ** IT13380は、下記のV8.0ユーザーが対象です。 - APAR IT03599 を導入していない - もしくは、IT03599 を含んだFix Packを導入していない |
Toolkit のJavaの脆弱性
| 製品 | VRMF | APAR | 修正 |
| IBM Integration Toolkit | V9.0 | IT13254 | IBM Fix CentralからiFix IT13254 を導入してください。 http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/Integration+Bus&release=All&platform=All&function=aparId&apars= IT13254 |
| WebSphere Message Broker Toolkit | V8.0 | IT13380 | IBM Fix CentralからiFix IT13380 を導入してください。 http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT13380 |
Note:
"SLOTH"脆弱性の結果として、MD5暗号化ハッシュアルゴリズムはもはや安全でないかもしれません。上記のいずれかの修正を導入するか、下記の設定に変更すると、Javaを介したMD5アルゴリズムの使用をすべて無効化できます。MD5署名された証明書とMD5withRSAを使用したTLSハンドシェイクで使用される暗号化スイートは受け付けません。
下記の文書も参照ください。
Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects WebSphere Message Broker and IBM Integration Bus (CVE-2015-7575)
http://www.ibm.com/support/docview.wss?uid=swg21975233
Workarounds and Mitigations
回避策/軽減策:
CVE-2015-7575の回避策/軽減策
Java 7 およびそれ以降を使用されている場合、java.securityファイルのMD5アルゴリズムを無効化することで問題に対処することができます。
1. IBM Integration Bus もしくは WebSphere Message Broker 導入ディレクトリーの jre/lib/security ディレクトリーの java.security ファイルを編集します。
例:
IIB v10:
c:\Program Files\IBM\IIB\10.0.0.2\common\jdk\jre\lib\security\java.security
/opt/ibm/iib/10.0.0.2/common/jdk/jre/lib/security/java.security (LinuxX64 only)
/opt/ibm/iib/10.0.0.2/common/jre/lib/security/java.security
IIB v9 & WMB v8 (IT03599 導入済み) :
c:\Program Files\IBM\MQSI\9.0.0.4\jre17\lib\security\java.security
/opt/ibm/mqsi/9.0.0.4/jre17/lib/security/java.security
c:\Program Files\IBM\MQSI\8.0.0.6\jre17\lib\security\java.security
/opt/ibm/mqsi/8.0.0.6/jre17/lib/security/java.security
2. jdk.certpath.disabledAlgorithms プロパティに MD5 を追加します。
例:
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024, MD5
3. jdk.tls.disabledAlgorithms プロパティに MD5withRSA を追加します。
例:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768, MD5withRSA
* Java 6 を使用されている場合、IT13380 を導入し、JREをアップグレードする必要があります。
Get Notified about Future Security Bulletins
References
参照情報:
IBM Java SDK Security Bulletin
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect WebSphere Message Broker and IBM Integration Bus
公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker
フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates
[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
23 March 2020
UID
swg21977749