IBM Support

2017年4月 に報告された IBM Java SDK の複数の脆弱性に関する WebSphere Application Server の対応

Created by Fumito Koga on
Published URL:
https://www.ibm.com/support/pages/node/560729
560729

Security Bulletin


Summary

IBM WebSphere Application Serverに同梱されているIBM®SDK Java™Technology Editionに関して、複数の脆弱性が報告されています。 これらの問題は、2017年4月にIBM Java SDKアップデートの一部として公開されました。
IBM WebSphere Application Serverは、これらのセキュリティ上の脆弱性に対する修正を含むIBM SDK Javaアップデートを提供しています。

Vulnerability Details

この製品に同梱のIBM Java Runtimeを使用して独自のJavaコードを実行する場合は、コードを評価して、完全な脆弱性リストがコードに適用可能かどうかを判断する必要があります。 2017年4月のCPUの詳細については、後述の"Reference"にリストされている「IBM Java SDK Security Bulletin」のリンクを参照してください。
※HP-UX用の修正モジュールについては、出荷が遅れています。

CVEID: CVE-2017-3511
DESCRIPTION:
 Java SE JCEコンポーネントに関連する不特定の脆弱性により、認証されていない攻撃者がシステムを制御できる可能性があります。
CVSS Base Score: 7.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/124890 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: WebSphere Application Server update of IBM® SDK Java™ Technology Edition
http://www.ibm.com/support/docview.wss?uid=swg22003016

Affected Products and Versions

すべてのバージョンのWebSphere Application ServerとHypervisor Edition、および Liberty に同梱されているIBM SDK, Java Technology Editionに影響があります。

  • V9.0
  • V8.5.5
  • V8.5
  • V8.0
  • V7.0

    ※WebSphere Application Servers Fix Packs 17.0.0.2, 9.0.0.4, 8.5.5.12, 8.0.0.14, 7.0.0.45 以降に含まれるIBM SDK, Java Technology Editionでは発生しません

Remediation/Fixes

お使いの環境に該当する個別修正 の適用、もしくは、それらを含むFix Packを適用してください。

WebSphere Application Server Liberty:

バージョン対応策
V8.5.0.0~V17.0.0.1- IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
  • WebSphere Application Server Liberty Fix Pack 8.5.5.1以降にアップグレードし、
    個別修正モジュールAPAR PI80735 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 45 になります。
- IBM Java SDK 7.0 をお使いの場合:
  • WebSphere Application Server Liberty Fix Pack 8.5.5.1以降にアップグレードし、
    個別修正モジュールAPAR PI80733 を適用します。
    適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 10 Fix Pack 5 になります。
- IBM Java SDK 7.1 をお使いの場合:
  • WebSphere Application Server Liberty Fix Pack 8.5.5.2以降、もしくはFix Pack 16.0.0.2以降にアップグレードし、個別修正モジュールAPAR PI80732 を適用します。
    適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 4 Fix Pack 5 になります。
- IBM Java SDK 8.0 をお使いの場合:
  • WebSphere Application Server Liberty Fix Pack 8.5.5.5以降、もしくはFix Pack 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI80729 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 5 になります。
- アーカイブ・ベースのLibertyをお使いの場合:
  • WebSphere Application Server Liberty Fix Pack 8.5.5.1以降、もしくはFix Pack 16.0.0.2以降にバージョンアップし、個別修正モジュールAPAR PI80731 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 5 になります。
-- または --
  • Fix Pack 17.0.0.2以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 17.0.0.2は、 2017年6月13日にリリース予定です。(2017/6/2時点)

V9.0 WebSphere Application Server Traditional:

バージョン対応策
V9.0.0.0~V9.0.0.3

V8.5/V8.0/7.0 WebSphere Application Server Traditional および Hypervisor Edition:
※WebSphere Application Server Version 8.5.5 に現在同梱されているIBM Java SDKに関する情報は、"References"セクションの Knowledge Center のリンクを参照してください。

バージョン対応策
V8.5.0.0~V8.5.5.11- IBM Java SDK 6.1 (J9 2.6)をお使いの場合:
  • Fix Pack 8.5.5.1以降にアップグレードし、個別修正モジュールAPAR PI80734 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 45 になります。
- IBM Java SDK 7.0 をお使いの場合:
  • Fix Pack 8.5.5.1以降にバージョンアップし、個別修正モジュールAPAR PI80733 を適用します。
    適用後のバージョンは、IBM Java SDK 7.0 Service Refresh 10 Fix Pack 5 になります。
- IBM Java SDK 7.1 をお使いの場合:
  • Fix Pack 8.5.5.2以降にバージョンアップし、個別修正モジュールAPAR PI80732 を適用します。
    適用後のバージョンは、IBM Java SDK 7.1 Service Refresh 4 Fix Pack 5 になります。
- IBM Java SDK 8.0 をお使いの場合:
  • Fix Pack 8.5.5.9以降にバージョンアップし、個別修正モジュールAPAR PI80729 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 5 になります。
- IBM Java SDK 8.0を同梱したWASv8.5.5.11以降をインストールしお使いの場合:
  • 個別修正モジュールAPAR PI80730 を適用します。
    適用後のバージョンは、IBM Java SDK 8.0 Service Refresh 4 Fix Pack 5 になります。
-- または --
  • Fix Pack 8.5.5.12以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 8.5.5.12は、 2017年8月4日にリリース予定です。(2017/6/2時点)
V8.0.0.0~V8.0.0.13
  • Fix Pack 8.0.0.7以降にバージョンアップし、個別修正モジュールAPAR PI80736 を適用します。
    適用後のバージョンは、IBM Java SDK 6.1 Service Refresh 8 Fix Pack 45 になります。

-- または --
  • Fix Pack 8.0.0.14以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 8.0.0.14は、 2017年10月16日にリリース予定です。(2017/6/2時点)
V7.0.0.0~V7.0.0.43
  • Fix Pack 7.0.0.31以降にバージョンアップし、個別修正モジュールAPAR PI80737を適用します。
    適用後のバージョンは、IBM Java SDK 6 Service Refresh 16 Fix Pack 45 になります。

-- または --
  • Fix Pack 7.0.0.45以降で提供されるIBM Java SDKへアップデートします。
    * Fix Pack 7.0.0.45は、 2017年2Qにリリース予定です。(2017/6/3時点)

上記製品のサポートされていないバージョンについては、IBMはサポートされている修正済みのバージョンにアップグレードすることをお勧めします。

Workarounds and Mitigations

ありません

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

Change History

2017/06/09 CVE-2017-3511について追記
2017/06/02 初版発行

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF012","label":"IBM i"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"},{"code":"PF035","label":"z\/OS"}],"Version":"9.0;8.5.5;8.5;8.0;7.0","Edition":"Base;Developer;Enterprise;Express;Liberty;Network Deployment","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22003398