IBM Support

【セキュリティ情報】WebSphere Message Broker および IBM Integration Bus への IBM Java Runtime の複数の脆弱性の影響 (CVE-2016-3485)

Created by Keiko Fukuda on
Published URL:
https://www.ibm.com/support/pages/node/558083
558083

Security Bulletin


Summary

WebSphere Message Brokerで使用されるIBM®ランタイム環境Java™Technology Edition 6.0.16.26(およびそれ以前のバージョン)、WebSphere Message BrokerおよびIBM Integration Busで使用されるIBM®Runtime Environment Java™Technology Edition 7.0.9.40(およびそれ以前のバージョン)、およびIBM Integration Busで使用されるIBM®ランタイム環境Java™Technology Edition 7.1.3.40(およびそれ以前のバージョン)に複数のセキュリティー脆弱性が存在します。これらの問題は、2016年7月にIBM Java SDKアップデートの一部として公開されました。

Vulnerability Details


最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect WebSphere Message Broker and IBM Integration Bus (CVE-2016-3485)
http://www.ibm.com/support/docview.wss?uid=swg21994213

CVEID: CVE-2016-3485
脆弱性の詳細:

ネットワークコンポーネントに関連する Oracle Java SE および Java SE Embedded の特定されていない脆弱性は、機密性への影響はありません。整合性への影響は低く、可用性への影響はありません。
CVSS Base Score: 2.9
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/115273 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

Affected Products and Versions

IBM Integration Bus V10, V9

WebSphere Message Broker V8

Remediation/Fixes

Product

VRMFAPARRemediation/Fix
IBM Integration BusV10IT16743 APAR は、Fix pack 10.0.0.7 に含まれています。
https://www-304.ibm.com/support/docview.wss?uid=swg24043068
IBM Integration BusV9IT16743APARは、Fix pack 9.0.0.7 に含まれています。
http://www-01.ibm.com/support/docview.wss?uid=swg24043227
WebSphere Message Broker V8IT16743Interim fix は、全てのプラットフォームに対して IBM Fix Central から入手できます。
http://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~WebSphere&product=ibm/WebSphere/WebSphere+Message+Broker&release=All&platform=All&function=aparId&apars=IT16743

8.0.0.7 より前の Fix pack をご使用されていて、IT03599が適用されていない場合は、Fix pack 8.0.0.7 以上にアップグレードするか、IBMサポートへ IT16735 を依頼する必要があります。

APAR IT16743 は、Fix pack 8.0.0.9 に含まれています。

For unsupported versions of the product IBM recommends upgrading to a fixed, supported version/release/platform of the product.

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSNQK6","label":"IBM Integration Bus"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Not Applicable","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"10.0;9.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}},{"Product":{"code":"SSKM8N","label":"WebSphere Message Broker"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"8.0","Edition":"","Line of Business":{"code":"LOB36","label":"IBM Automation"}}]

Document Information

Modified date:
23 March 2020

UID

swg22001612