IBM Support

【セキュリティ情報】WebSphere Message BrokerおよびIBM Integration Busに影響する複数のOpenSSLの複数の脆弱性

Created by Sawa Takenaka on
Published URL:
https://www.ibm.com/support/pages/node/564365
564365

Security Bulletin


Summary

WebSphere Message BrokerおよびIBM Integration Busで使用されるDataDirect ODBCドライバーに対し、CVEが発行されました。

Vulnerability Details



最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities in OpenSSL affect WebSphere Message Broker and IBM Integration Bus
http://www-01.ibm.com/support/docview.wss?uid=swg22005335

CVEID: CVE-2017-3731
記述:
OpenSSLは、特定の暗号を使用しているときに境界外読み取り(out-of-bounds read)によって引き起こされるサービス運用妨害(Dos:denial of service)に対して脆弱です。
特別に細工された切り詰められたパケットを送信することにより、リモートの攻撃者は、CHACHA20 / POLY1305を使用してこの脆弱性を悪用し、アプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現状値については https://exchange.xforce.ibmcloud.com/vulnerabilities/121312 をご参照ください
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID:
CVE-2017-3732
記述:
OpenSSLにおいて、リモートの攻撃者はBN_mod_exp()関数の伝播エラーにより機密情報を取得することができる可能性があります。 攻撃者は、この脆弱性を悪用して秘密鍵に関する情報を取得することができる可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現状値については https://exchange.xforce.ibmcloud.com/vulnerabilities/121313 をご参照ください
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

CVEID:
CVE-2016-7055
記述:
OpenSSLは、Broadwell固有のMontgomery乗算プロシージャのエラーによって引き起こされるサービス運用妨害(Dos:denial of service)に対して脆弱です。リモート攻撃者は、特別に細工されたデータを送信することにより、この脆弱性を利用して、複数のリモートクライアントが影響を受けるECアルゴリズムを選択し、サービス運用妨害(Dos:denial of service)を引き起こす構成で公開キー操作のエラーを引き起こす可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現状値については https://exchange.xforce.ibmcloud.com/vulnerabilities/118748 をご参照ください
CVSS Environmental Score*: 未定義
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

Affected Products and Versions

IBM Integration Bus V10.0.0.0- 10.0.0.8

IBM Integration Bus V9.0.0.0- 9.0.0.7

WebSphere Message Broker V8.0.0.0 - 8.0.0.8

Remediation/Fixes

DataDirectドライバーを使用するODBC SSLのユーザー用:

ProductVRMFAPARRemediation/Fix
IBM Integration BusV10.0.0.0- 10.0.0.8IT19662 IT19741 このAPARの修正は、fix pack 10.0.0.9 に含まれます。
http://www-01.ibm.com/support/docview.wss?uid=swg24043686
IBM Integration BusV9.0.0.0- 9.0.0.7IT19662 IT19741 このAPARの修正は、fix pack 9.0.0.8 に含まれます。http://www-01.ibm.com/support/docview.wss?uid=swg24043751
WebSphere Message BrokerV8.0.0.0 - 8.0.0.8IT19662 IT19741このAPARの修正は、fix pack 8.0.0.9 に含まれます。
https://www.ibm.com/support/docview.wss?uid=swg24043806


サポートされていないバージョンの製品については、サポートされているバージョン/リリース/プラットフォームにアップグレードすることをお勧めします


WebSphere Message BrokerおよびIBM Integration Busの保守リリース予定日については、次のURLをご参照ください:
http://www.ibm.com/support/docview.wss?uid=swg27006308

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

Important Note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSNQK6","label":"IBM Integration Bus"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Not Applicable","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"10.0;9.0","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
23 March 2020

UID

swg22005755