IBM Support

【セキュリティ情報】IBM Java Runtimeに含まれる複数の脆弱性がIBM MQに影響を与えます

Created by Keiko Fukuda on
Published URL:
https://www.ibm.com/support/pages/node/571445
571445

Security Bulletin


Summary

IBM MQ が使用するIBM® Runtime Environment Java™ versions 6, 7 および 8 に複数の脆弱性が報告されています。これらの問題は、2018年1月にIBM Java SDKアップデートの際に公開されました。

最新の情報はオリジナルの英語の文書をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM MQ
http://www-01.ibm.com/support/docview.wss?uid=swg22016278

Vulnerability Details

製品に同梱して提供されるIBM Java Runtimeを使用してお客様のJavaコードを実行されている場合、以下の脆弱性の影響を受けるかどうかをご確認ください。
脆弱性の完全なリストは"References" 欄の“IBM Java SDK Security Bulletin" をご参照ください。より詳細な情報をご確認頂けます。

CVEID: CVE-2018-2579
DESCRIPTION:
Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密情報を取得し、未知の攻撃経路を使用して、機密性に影響を与える可能性があります。
CVSS Base Score: 3.7
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137833 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

CVEID: CVE-2018-2663
DESCRIPTION:
Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137917 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)
CVEID: CVE-2018-2677
DESCRIPTION:
Java SE AWTコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137932 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)
CVEID: CVE-2018-2678
DESCRIPTION:
Java SE JNDIコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137933 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L)
CVEID: CVE-2018-2602
DESCRIPTION:
Java SEのI18nコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密性、整合性 および 可用性に影響を与える可能性があります。
CVSS Base Score: 4.5
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137854 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L)

CVEID: CVE-2018-2603
DESCRIPTION:
Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137855 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2018-2657
DESCRIPTION:
Java SE、シリアライゼーションコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137910 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2018-2618
DESCRIPTION:
Java SE JCE コンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密情報を取得し、未知の攻撃経路を使用して、機密性に影響を与える可能性が高いです。
CVSS Base Score: 5.9
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137870 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

CVEID: CVE-2018-2637
DESCRIPTION:
Java SE JMXコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密性、整合性 および可用性に影響を与える可能性が高いです。
CVSS Base Score: 7.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137889 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)

CVEID: CVE-2018-2633
DESCRIPTION:
Java SE JNDIコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がシステムを制御する可能性があります。
CVSS Base Score: 8.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137885 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

Affected Products and Versions

この脆弱性は、次の製品・バージョンにおいて影響を受けます。

Product

Version
IBM MQ 9.0.0.x Long Term Support (LTS)IBM MQ 9.0.0.2 とそれ以前のバージョン
IBM MQ 9.0.x および
IBM MQ Appliance 9.0.x Continuous Delivery Release (CDR)
IBM MQ 9.0.4 とそれ以前のバージョン
IBM MQ V8.0 および IBM MQ Appliance 8.0IBM MQ 8.0.0.8 とそれ以前のバージョン
WebSphere MQ 7.5WebSphere MQ 7.5.0.8 とそれ以前のバージョン
WebSphere MQ 7.1WebSphere MQ 7.1.0.8 とそれ以前のバージョン

Remediation/Fixes

次の個別修正(iFix) もしくは、Fix Pack を導入してください。

Product

Remediation / Fix
IBM MQ 9.0.0.0Fix pack 9.0.0.3 を適用してください。
IBM MQ 9.0.x および
IBM MQ Appliance 9.0.x Continuous Delivery Release (CDR)
IBM MQ 9.0.5 にアップデートしてください。
IBM MQ V8.0 および IBM MQ Appliance 8.0Fix pack 8.0.0.9 を適用してください。(※)
WebSphere MQ 7.5個別修正モジュールIT23405 を適用してください。
WebSphere MQ 7.1Fix pack 7.1.0.9 を適用してください。
(※)  注意:HP-UXプラットフォーム上のMQ v8.0のユーザーは、現時点では、このJREレベル(7.0)用のパッチが製造元からリリースされていないことにご注意ください。これらの更新は、利用可能になるとIBMによって公開されます。

Workarounds and Mitigations

回避策はございません。

Get Notified about Future Security Bulletins

References

Off

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SSFKSJ","label":"WebSphere MQ"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Component":"Security","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF010","label":"HP-UX"},{"code":"PF016","label":"Linux"},{"code":"PF027","label":"Solaris"},{"code":"PF033","label":"Windows"}],"Version":"9.0.4;9.0.3;9.0.2;9.0.1;9.0.0.2;9.0.0.1;9.0;8.0;7.5;7.1","Edition":"","Line of Business":{"code":"LOB45","label":"Automation"}}]

Document Information

Modified date:
15 June 2018

UID

swg22016702