Security Bulletin
Summary
IBM MQ が使用するIBM® Runtime Environment Java™ versions 6, 7 および 8 に複数の脆弱性が報告されています。これらの問題は、2018年1月にIBM Java SDKアップデートの際に公開されました。
最新の情報はオリジナルの英語の文書をご参照ください。
Security Bulletin: Multiple vulnerabilities in IBM Java Runtime affect IBM MQ
http://www-01.ibm.com/support/docview.wss?uid=swg22016278
Vulnerability Details
製品に同梱して提供されるIBM Java Runtimeを使用してお客様のJavaコードを実行されている場合、以下の脆弱性の影響を受けるかどうかをご確認ください。
脆弱性の完全なリストは"References" 欄の“IBM Java SDK Security Bulletin" をご参照ください。より詳細な情報をご確認頂けます。
| CVEID: CVE-2018-2579 DESCRIPTION: Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密情報を取得し、未知の攻撃経路を使用して、機密性に影響を与える可能性があります。 CVSS Base Score: 3.7 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137833 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) |
| CVEID: CVE-2018-2663 DESCRIPTION: Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。 CVSS Base Score: 4.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137917 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2018-2677 DESCRIPTION: Java SE AWTコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。 CVSS Base Score: 4.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137932 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2018-2678 DESCRIPTION: Java SE JNDIコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。 CVSS Base Score: 4.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137933 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2018-2602 DESCRIPTION: Java SEのI18nコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密性、整合性 および 可用性に影響を与える可能性があります。 CVSS Base Score: 4.5 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137854 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L) |
| CVEID: CVE-2018-2603 DESCRIPTION: Java SE Librariesコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137855 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2018-2657 DESCRIPTION: Java SE、シリアライゼーションコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がサービス拒否を引き起こし、未知の攻撃経路を使用して、可用性に影響を与える可能性があります。 CVSS Base Score: 5.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137910 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) |
| CVEID: CVE-2018-2618 DESCRIPTION: Java SE JCE コンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密情報を取得し、未知の攻撃経路を使用して、機密性に影響を与える可能性が高いです。 CVSS Base Score: 5.9 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137870 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CVEID: CVE-2018-2637 DESCRIPTION: Java SE JMXコンポーネントに関連する脆弱性により、権限のない悪意ある第三者が機密性、整合性 および可用性に影響を与える可能性が高いです。 CVSS Base Score: 7.4 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137889 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N) |
| CVEID: CVE-2018-2633 DESCRIPTION: Java SE JNDIコンポーネントに関連する脆弱性により、権限のない悪意ある第三者がシステムを制御する可能性があります。 CVSS Base Score: 8.3 CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/137885 for the current score CVSS Environmental Score*: Undefined CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
Affected Products and Versions
この脆弱性は、次の製品・バージョンにおいて影響を受けます。
|
Product | Version |
| IBM MQ 9.0.0.x Long Term Support (LTS) | IBM MQ 9.0.0.2 とそれ以前のバージョン |
| IBM MQ 9.0.x および IBM MQ Appliance 9.0.x Continuous Delivery Release (CDR) | IBM MQ 9.0.4 とそれ以前のバージョン |
| IBM MQ V8.0 および IBM MQ Appliance 8.0 | IBM MQ 8.0.0.8 とそれ以前のバージョン |
| WebSphere MQ 7.5 | WebSphere MQ 7.5.0.8 とそれ以前のバージョン |
| WebSphere MQ 7.1 | WebSphere MQ 7.1.0.8 とそれ以前のバージョン |
Remediation/Fixes
次の個別修正(iFix) もしくは、Fix Pack を導入してください。
|
Product | Remediation / Fix |
| IBM MQ 9.0.0.0 | Fix pack 9.0.0.3 を適用してください。 |
| IBM MQ 9.0.x および IBM MQ Appliance 9.0.x Continuous Delivery Release (CDR) | IBM MQ 9.0.5 にアップデートしてください。 |
| IBM MQ V8.0 および IBM MQ Appliance 8.0 | Fix pack 8.0.0.9 を適用してください。(※) |
| WebSphere MQ 7.5 | 個別修正モジュールIT23405 を適用してください。 |
| WebSphere MQ 7.1 | Fix pack 7.1.0.9 を適用してください。 |
Workarounds and Mitigations
回避策はございません。
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg22016702