Security Bulletin
Summary
WebSphere Application Serverで使用されるIBM HTTP ServerのGSKitコンポーネントに複数の脆弱性があります。
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Multiple vulnerabilities GSKit bundled with IBM HTTP Server
http://www.ibm.com/support/docview.wss?uid=swg22015347
Vulnerability Details
|
CVEID: CVE-2016-0702 |
| CVEID: CVE-2016-0705 DESCRIPTION: OpenSSLではDSA秘密鍵の解析時の二重開放エラーによりサービスを利用不能な状態にされてしまう可能性があります。 この脆弱性を悪用して攻撃者がメモリーを不正に操作し、サービスの提供を妨害する可能性があります。 CVSS Base Score: 3.7 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/111140 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2017-3732 DESCRIPTION: OpenSSLではx86_64 モンゴメリ乗算処理のキャリープロパゲーションにバグが存在し、リモートの攻撃者が機密情報を取得できてしまう可能性があります。 この脆弱性を悪用することにより、攻撃者が秘密鍵の情報を入手する可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/121313 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) |
| CVEID: CVE-2017-3736 DESCRIPTION: OpenSSLではx86_64 モンゴメリ乗算関数 bn_sqrx8x_internal()のキャリープロパゲーションに不備があり、リモートの攻撃者が機密情報を取得できてしまう可能性があります。 この脆弱性を悪用することにより、パッチを適用していないシステムへ攻撃者がオンラインにてアクセスし秘密鍵の情報を入手する可能性があります。 CVSS Base Score: 5.9 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/134397 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CVEID: CVE-2018-1427 DESCRIPTION: IBM GSKitの環境変数には、ローカルの攻撃者がオーバーフローを発生させることによりサービス妨害を引き起こす可能性があります。 CVSS Base Score: 6.2 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/139072 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) |
| CVEID: CVE-2018-1426 DESCRIPTION:IBM GSKitの乱数生成器は、fork()関数を使用して複数のICCインスタンスがロードされている状況において重複した情報を作成する可能性があります。この脆弱性により、重複したセッションIDやキー情報が生成される可能性があります。 CVSS Base Score: 7.4 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/139071 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N) |
| CVEID: CVE-2018-1447 DESCRIPTION: GSKit CMS KDBの処理にてハッシュ関数のソルト付与に問題があり、その結果としてパスワード強度が想定より弱くなっている可能性があります。 弱いパスワードはリカバリーされてしまう可能性があります。 注)更新後、お客様はパスワードを変更してより安全な新しいパスワードを保存する必要があります。 優先度高でこのステップを行うことを推奨します。 CVSS Base Score: 5.1 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/139972 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) |
Affected Products and Versions
全てのエディションのWebSphere Application Serverやバンドル製品に含まれる、次のバージョンのIBM HTTP Server(Apacheベース)がこれらの脆弱性の影響を受ける可能性があります。
- Version 9.0
- Version 8.5
- Version 8.0
- Version 7.0
Remediation/Fixes
以下に示す暫定修正またはフィックスパック・レベルを適用した後、 "Password re-stashing"に関する下記文書を参照してください。http://publib.boulder.ibm.com/httpserv/ihsdiag/restash.html
CVE-2018-1447の影響を受けないようにするためにも、暫定修正を適用した後パスワードを再度保存することを推奨いたします。
| バージョン | 対応策 |
| V9.0.0.0 - V9.0.0.7 |
|
| V8.5.0.0 - V8.5.5.13 |
|
| V8.0.0.0 - V8.0.0.14 |
|
| V7.0.0.0 - V7.0.0.43 |
|
WebSphere Application Server V7およびV8は、2018/4/30にEOSとなりました。IBMは、お客様環境に導入されている製品をサポートされているバージョン/リリース/プラットフォームにアップグレードすることを推奨します。
Important note
IBMは、全てののSystem zユーザーがSystem zセキュリティ・ポータルに加入して、最新の重大なSystem zセキュリティーおよび保全サービスを受け取ることを強く推奨しています。購読していない場合は、System z Security web site を参照してください。SecurityやIntegrityのAPARおよびそのfixがこのポータルに掲載されます。潜在的なリスクを最小限に抑えるために、CVSSスコアを検討し、すべてのSecurityやIntegrityのfixをできるだけ早く適用することを推奨します。
Workarounds and Mitigations
回避策はありません。
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
07 September 2022
UID
swg22016535