IBM Support

【セキュリティ情報】 IBM WebSphere MQのIBM Java Runtime の複数の脆弱性の影響

Created by Makoto Tomota on
Published URL:
https://www.ibm.com/support/pages/node/565157
565157

Security Bulletin


Summary

IBM WebSphere MQ で提供されているIBM® Runtime Environment Java™ Technology Editions バージョン6, 7 & 8にセキュリティ脆弱性が存在します。
これらの問題は、2017年4月にIBM Java SDK更新の一部として公開されました。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: A vulnerability in Java runtime from IBM affects IBM WebSphere MQ
http://www.ibm.com/support/docview.wss?uid=swg22005123


CVEID: CVE-2017-3511
脆弱性の詳細: Java SE JCEコンポーネントに関連する不特定の脆弱性により、認証されていない攻撃者がシステムを制御できる可能性があります。
CVSS Base Score: 7.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/124890 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

CVEID: CVE-2017-3533
脆弱性の詳細: Java SE には、Networking に関する処理に不備があるため、完全性に影響のある脆弱性が存在します。    CVSS Base Score: 3.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/124910 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

CVEID: CVE-2016-9840
脆弱性の詳細: zlibはinftrees.cの境界外ポインタ算術演算によって引き起こされるサービス妨害に対して脆弱です。 ユーザーに特別に細工された文書をオープンさせることにより、リモートの攻撃者はこの脆弱性を悪用してサービス拒否を引き起こす可能性があります。
CVSS Base Score: 3.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120508 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-9841
脆弱性の詳細: zlibはinftrees.cの境界外ポインタ算術演算によって引き起こされるサービス妨害に対して脆弱です。 ユーザーに特別に細工された文書をオープンさせることにより、リモートの攻撃者はこの脆弱性を悪用してサービス拒否を引き起こす可能性があります。
CVSS Base Score: 3.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120509 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-9842
脆弱性の詳細: zlibは、定義されていない負の数の左シフトによって引き起こされるサービス妨害に対して脆弱です。 ユーザーに特別に細工された文書をオープンさせることにより、リモートの攻撃者はこの脆弱性を悪用してサービス拒否を引き起こす可能性があります。
CVSS Base Score: 3.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120510 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)

CVEID: CVE-2016-9843
脆弱性の詳細: zlibは、ビッグエンディアンの範囲外ポインタによって引き起こされるサービス拒否に対して脆弱です。 ユーザーに特別に細工された文書をオープンさせることにより、リモートの攻撃者はこの脆弱性を悪用してサービス拒否を引き起こす可能性があります。
CVSS Base Score: 3.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/120511 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)



この製品に付属のIBMのJavaランタイム環境を使用して独自のJavaコードを実行する場合は、脆弱性の完全なリストを参照して独自のコードが脆弱性の影響を受けるか評価・判断する必要があります。 脆弱性の完全なリストについては、「Reference」の「IBM Java SDK Security Bulletin」を参照してください。

Affected Products and Versions

この脆弱性は、WebSphere MQ、IBM MQ Appliance の下記のバージョン、メンテナンス・レベルにおいて影響を受けます。


IBM MQ 9.0.0.x Long Term Support (LTS)
メンテナンス・レベル 9.0.0.0 のみ

IBM MQ 9.0.x Continuous Delivery Release (CDR)
継続デリバリー・リリース 9.0.1 のみ

IBM MQ Appliance 9.0.x
9.0.1 のみ
IBM MQ 8.0
メンテナンス・レベル 8.0.0.0 - 8.0.0.5

IBM MQ Appliance 8.0
メンテナンス・レベル 8.0.0.0 - 8.0.0.5

WebSphere MQ 7.5
メンテナンス・レベル 7.5.0.0 - 7.5.0.7

WebSphere MQ 7.1
メンテナンス・レベル 7.1.0.0 - 7.1.0.8

Remediation/Fixes

次の個別修正(iFix) もしくは、Fix Pack を導入してください。


IBM MQ 9.0.0.0
Fix Pack 9.0.0.1 を導入してください。

IBM MQ 9.0.1 and IBM MQ Appliance 9.0.1
IBM MQ 9.0.3 にアップグレードください。

IBM MQ V8.0 & IBM MQ Appliance V8.0
Fix Pack 8.0.0.6 を導入してください。

WebSphere MQ 7.5
Fix Pack 7.5.0.8 を導入してください。

WebSphere MQ 7.1
iFix IT20034 を導入してください。

Workarounds and Mitigations

回避策はありません。

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSFKSJ","label":"WebSphere MQ"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Java","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"9.0;8.0;7.5;7.1","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22006262