IBM Support

(参考) IBM Sametime における SSLv3 の脆弱性の影響について (CVE-2014-3566)

Security Bulletin


Summary

SSL 3.0 (SSLv3) には、プロトコル設計自体に通称 POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる脆弱性が存在することが報告されています。IBM Sametime では SSLv3 が有効にされている場合があります。この文書では、この問題を軽減する設定について記載します。

Vulnerability Details


CVE-ID: CVE-2014-3566

説明:
SSLv3 プロトコルを使用時の問題により、リモート攻撃者が機密情報を入手することができてしまう可能性があるという問題が報告されました。中間者攻撃 (man-in-the-middle attack) を実行可能なリモートユーザーが、通称 POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる脆弱性を利用して、SSL セッションを解読し、暗号化されたコネクションのプレーンテキストにアクセスする危険性があります。

CVSS Base Score: 4.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Affected Products and Versions


IBM Sametime 8.5.x (Entry, Standard, Advanced を含む)
IBM Sametime 9.x (Communicate, Conference, Complete を含む)

Remediation/Fixes

なし

Workarounds and Mitigations


すべての環境について、どのエリアで SSLv3 プロトコルが有効になっているかご確認いただき、適切な軽減策・修正アクションを実行していただくことを推奨します。当面の軽減策は、SSLv3 を無効にすることです。SSLv3 を無効にしても、互換性の問題を起こすことはありません。

以下のコンポーネントについては、WebSphere Application Server の文書を参照し、サーバーで SSLv3 を無効にしてください。
「【重要情報】SSL 3.0 の脆弱性に対する WebSphere Application Server への影響について (CVE-2014-3566)」(Technote #1687416)

  • IBM Sametime Meetings サーバー
  • IBM Sametime Advanced サーバー
  • IBM Sametime Gateway
  • IBM Sametime Proxy and the Sametime Web Chat クライアント
  • IBM Sametime VMGR
  • IBM Sametime Proxy Registrar
  • IBM Sametime System Console (SSC)

他の IBM Sametime のコンポーネントについては、デフォルトでは POODLE 攻撃の影響はありません。

Community サーバーについては、たとえば IBM Sametime 9 HF1 でチャットに対して TLS が有効に設定され、SSLv3 が明示的に有効化されている場合、無効にしてください。詳細については以下の wiki の記事を参照してください。
(英文)「Security Considerations for TLS Configuration」

また、POODLE 脆弱性に対する IBM Domino の修正については、以下の文書を参照してください。
「(参考) IBM Domino における SSL 3.0 の脆弱性の影響について」(Technote #1687802)

POODLE 対策に付随する以下の問題を解決するための Hotfix が提供されました。
  • Media サーバーコンポーネント間において SSLv3 通信が一部残ってしまう問題
  • 脆弱性対策で SSLv3 を無効化することにより、IBM Sametime 製品 (Advanced, Meeting, Media, Proxy, Community サーバー) のインストーラが SSC に接続することができない問題、および、SSC から Community サーバーに対してポリシー情報が同期されない問題
(注意)Websphere Application Server 8.5.5.4 (FP4) の適用は、以下の IBM Sametime の Hotfix を適用したあとに行ってください。IBM Sametime サーバーを新規にインストールするときは、製品にバンドルされている 8.5.5.0 + iFix を必ず使用して下さい。

バージョン 9
コンポーネント
修正モジュール
補足情報
IBM Sametime Meetings サーバー 手順
  1. root ユーザーでログイン
  2. IBM Sametime Meeting サーバーのマシン上に Hotfix ファイルをコピー
  3. zip ファイルを展開
  4. 次の手順で修正を適用する
    - Installation Manager を起動
    - [ファイル] - [設定] を選択
    - 「インストール中、および、更新中にサービスリポジトリーの検索」のチェックを外す
    - [リポジトリの追加] を選択
    - 展開したファイルの中にある respository.config を選択する
    - [OK] を押す
    - Installation Manager のメイン画面で [更新] を押す
    - 「IBM Sametime Server プラットフォーム」パッケージグループを選択して、[次へ]
    - WebSphere の管理ユーザーとパスワードを入力して [検証] し、[次へ]
    - IBM Sametime System Console サーバーの情報と WebSphere 管理ユーザーのクレデンシャルを指定して [次へ]
    - [更新]
  5. インストールが完了するまで画面の指示に従う
メモ: クラスタ構成で運用している場合、各ノードで同じ作業を繰り返します。
IBM Sametime Community サーバー
新規インストール
New Install Fix Link


アップグレード
Upgrade Fix Link
2 つの異なるインストールオプションが提供されています。

1 つはフルインストーラであり、新規インストールの場合にのみ使用して下さい。アップグレードで使用すると、設定値が元に戻るといった様々な問題が発生する場合があります。

もう一方は、jar ファイルの置換での対応であり、アップグレードの場合の作業手順となります。

1. consoleDepClient14.jar と http.api.jar を C:\Program Files (x86)\IBM\Lotus\Domino\console ディレクトリにコピーする。

2. console.properties に SSCSSLEnabled=true をセットしてから、ブラウザより SSC に接続する。

3. ST Policy サービスを再起動する。

この作業後に、SSC からポリシーが問題なく更新できることを確認してください。
IBM Sametime System Console ファイルをダウンロードし、Installation Manager 経由で SSC プログラムを更新します。
IBM Sametime Proxy サーバー 手順
  1. root ユーザーでログイン
  2. IBM Sametime Proxy サーバーのマシン上に Hotfix ファイルをコピー
  3. zip ファイルを展開
  4. 次の手順で修正を適用する
    - Installation Manager を起動
    - [ファイル] - [設定] を選択
    - 「インストール中、および、更新中にサービスリポジトリーの検索」のチェックを外す
    - [リポジトリの追加] を選択
    - 展開したファイルの中にある respository.config を選択する
    - [OK] を押す
    - Installation Manager のメイン画面で [更新] を押す
    - 「IBM Sametime Server プラットフォーム」パッケージグループを選択して、[次へ]
    - WebSphere の管理ユーザーとパスワードを入力して [検証] し、[次へ]
    - IBM Sametime System Console サーバーの情報と WebSphere 管理ユーザーのクレデンシャルを指定して [次へ]
    - [更新]
  5. インストールが完了するまで画面の指示に従う
メモ: クラスタ構成で運用している場合、各ノードで同じ作業を繰り返します。
IBM Sametime Advanced サーバー 修正内容:

修正 1: HTTPS を使用しているとき、クライアント側の Cookie がセキュアフラグなしで生成され、セキュリティツールによって潜在的な問題であるとレポートされる問題を修正しました。

修正 2: root のフォルダオブジェクトを返すことがある問題を修正しました。

修正 3: SSLv3 を無効化していると、インストールが失敗する問題を修正しました。

インストール手順:

以下のインストール前の作業を行い、ロケーションサービスを無効にします。
  1. Integrated Solutions Console (ISC) にログイン
  2. [サーバー] - [サーバータイプ] - [WebSphere アプリケーションサーバー]
  3. [STAdvancedServer]
  4. [Server インフラストラクチャー] - [Java およびプロセス管理]
  5. [プロセス定義]
  6. [Java 仮想マシン] - [カスタムプロパティ]
  7. 以下の値を追加もしくは更新
    com.ibm.rtc.location.disableLocationService = true
  8. サーバーの再起動
リンクをクリックして zip ファイルをダウンロードし、Installation Manager 経由で Advanced Server を更新します。

以下のテーブルデータを必要に応じて削除します。

DELETE FROM ORGCOL.NLS_LAST_VOTE;
DELETE FROM ORGCOL.NLS_PERSONAL_NET_ADDR_MAP;
DELETE FROM ORGCOL.WALS_USER_MAP;
DELETE FROM ORGCOL.NLS_NET_ADDR_VOTECOUNT;
DELETE FROM ORGCOL.NLS_SHARED_NET_ADDR_MAP;
DELETE FROM ORGCOL.NLS_NET_ADDR;
DELETE FROM ORGCOL.NLS_PERSONAL_LOCATION;
DELETE FROM ORGCOL.NLS_POSTAL_CODE;
DELETE FROM ORGCOL.NLS_SHARED_LOCATION;
DELETE FROM ORGCOL.NLS_USER;

インストール前の 7 の作業で無効化したロケーションサービスを元に戻します。

メモ:
  • 現在のログインセッションの中で参照したビジネスカードデータはキャッシュされます。
  • "com.ibm.rtc.location.disableLocationService" オプションが変更された場合、反映には AdvancedServer の再起動が必要です。
Media Manager (VMCU)
VMGR (SolidDB Fix) IBM Sametime Video Mangaer をインストールします。
  1. root ユーザーでログイン
  2. IBM Sametime Video Manager のマシン上にファイルをコピー
  3. zip ファイルを展開
  4. 次の手順で修正を適用する
    - [ファイル] - [設定] を選択
    - 「インストール中、および、更新中にサービスリポジトリーの検索」のチェックを外す
    - [リポジトリの追加] を選択
    - 展開したファイルの IAV サブディレクトリ中にある respository.config を選択する
    - [OK] を押す
    - Installation Manager のメイン画面で [更新] を押す
    - 「IBM Sametime Media Server 9.0.0.0」パッケージグループを選択して、[次へ]
    - ライセンスアグリーメントで受け入れて [次へ]
    - WebSphere の管理ユーザーとパスワードを入力して [検証] し、[次へ]
    - IBM Sametime System Console サーバーの情報と WebSphere 管理ユーザーのクレデンシャルを指定して [次へ]
    - [更新]
  5. インストールが完了するまで画面の指示に従う


バージョン 8.5.2.1
コンポーネント
修正モジュール
補足情報
IBM Sametime Community サーバー 手順
  1. データディレクトリから ./ststart quit を実行し、IBM Domino サーバーを停止する
  2. IBM Domino サーバーのプログラムディレクトリ以下の全ファイルをバックアップする
  3. IBM Sametime Community サーバーのマシン上にコピーして展開したインストールファイルのディレクトリに移動する
  4. セットアッププログラムを実行する
次の手順を行い、インストールの完了を確認する。
  1. IBM Domino サーバーを起動する
  2. trace ディレクトリに出力される最新のタイムスタンプの sametime.log を確認して、STS8.5.2.1_20141211.1500 というビルドレベルが出力されることを確認する
IBM Sametime System Console リンクをクリックしてモジュールをダウンロードします。
以下のインストラクションに従ってモジュールを適用します。
(英文)「Installing Sametime 8.5.2 Interim Feature Release 1 on the Sametime System Console」

Get Notified about Future Security Bulletins

References

Complete CVSS v2 Guide
On-line Calculator v2

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。


重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

CVSS リファレンス:
共通脆弱性評価システム CVSS 概説
脆弱性の深刻度評価の新バージョン CVSS v2 について

CVSS Caluculator:
(日本語) Online Calculator

原文:
(英文)「Security Bulletin: Vulnerability in SSLv3 affects Sametime (CVE-2014-3566)」(Technote #1687845)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。


Change History

2014/11/07 初公開
2015/02/09 Hotfix に関する情報を追加
2015/03/02 Community サーバーの補足情報を更新
2015/03/06 Community サーバーにアップデート用の Fix を追加
2015/04/22 WAS 8.5.5.4 の適用に関する注意書きを追加

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: IBM Sametime

Software version: 8.5, 8.5.1, 8.5.2, 9.0

Operating system(s): AIX, Linux, Windows

Reference #: 1689055

Modified date: 22 April 2015


Translate this page: