Security Bulletin
Summary
IBM WebSphere Application Serverに同梱されているIBM®SDK Java™Technology Editionに関して、複数の脆弱性が報告されています。 これらの問題は、2017年4月にIBM Java SDKアップデートの一部として公開されました。
IBM WebSphere Application Serverは、これらのセキュリティ上の脆弱性に対する修正を含むIBM SDK Javaアップデートを提供しています。
Vulnerability Details
この製品に同梱のIBM Java Runtimeを使用して独自のJavaコードを実行する場合は、コードを評価して、完全な脆弱性リストがコードに適用可能かどうかを判断する必要があります。 2017年4月のCPUの詳細については、後述の"Reference"にリストされている「IBM Java SDK Security Bulletin」のリンクを参照してください。
※HP-UX用の修正モジュールについては、出荷が遅れています。
CVEID: CVE-2017-3511
DESCRIPTION: Java SE JCEコンポーネントに関連する不特定の脆弱性により、認証されていない攻撃者がシステムを制御できる可能性があります。
CVSS Base Score: 7.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/124890 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: WebSphere Application Server update of IBM® SDK Java™ Technology Edition
http://www.ibm.com/support/docview.wss?uid=swg22003016
Affected Products and Versions
すべてのバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDK, Java Technology Editionに影響があります。
- V9.0
- V8.5.5
- V8.5
- V8.0
- V7.0
※WebSphere Application Servers Fix Packs 17.0.0.2, 9.0.0.4, 8.5.5.12, 8.0.0.14, 7.0.0.45 以降に含まれるIBM SDK, Java Technology Editionでは発生しません。
Remediation/Fixes
お使いの環境に該当する個別修正 の適用、もしくは、それらを含むFix Packを適用してください。
WebSphere Application Server Liberty:
| バージョン | 対応策 |
| V8.5.0.0~V17.0.0.1 | - IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
|
V9.0 WebSphere Application Server Traditional:
| バージョン | 対応策 |
| V9.0.0.0~V9.0.0.3 |
|
V8.5/V8.0/7.0 WebSphere Application Server Traditional および Hypervisor Edition:
※WebSphere Application Server Version 8.5.5 に現在同梱されているIBM Java SDKに関する情報は、"References"セクションの Knowledge Center のリンクを参照してください。
| バージョン | 対応策 |
| V8.5.0.0~V8.5.5.11 | - IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
|
| V8.0.0.0~V8.0.0.13 |
-- または --
|
| V7.0.0.0~V7.0.0.43 |
-- または --
|
上記製品のサポートされていないバージョンについては、IBMはサポートされている修正済みのバージョンにアップグレードすることをお勧めします。
Workarounds and Mitigations
ありません
Get Notified about Future Security Bulletins
Important Note
IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.
References
Change History
2017/06/09 CVE-2017-3511について追記
2017/06/02 初版発行
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg22003398