IBM Support

(参考) IBM SDK Java Technology Edition の複数の脆弱性の IBM Domino への影響について

Security Bulletin


Summary

IBM Notes/Domino で使用されている IBM SDK Java Technology Edition Version 6 SR16FP35 において、複数の脆弱性が報告されました。これらの問題は 2017 年 2 月の IBM Java SDK アップデートで明らかになり、Version 6 SR16FP41 と Version 8 SR4FP1 で修正されています。

Vulnerability Details

CVEID: CVE-2017-3289
説明:Hotspot コンポーネントに関連する不特定の問題により、機密性、完全性、可用性に全面的な影響を及ぼす可能性のある脆弱性が存在します。

CVSS Base Score: 9.6
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)


CVEID: CVE-2017-3272
説明: Libraries コンポーネントに関連する不特定の問題により、機密性、完全性、可用性に全面的な影響を及ぼす可能性のある脆弱性が存在します。

CVSS Base Score: 9.6
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)


CVEID: CVE-2017-3241
説明: RMI コンポーネントに関連する不特定の問題により、機密性、完全性、可用性に全面的な影響を及ぼす可能性のある脆弱性が存在します。

CVSS Base Score: 9
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)


CVEID: CVE-2017-3260
説明: AWT コンポーネントに関連する不特定の問題により、機密性、完全性、可用性に全面的な影響を及ぼす可能性のある脆弱性が存在します。

CVSS Base Score: 8.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)


CVEID: CVE-2016-5546
説明: Libraries コンポーネントに関連する不特定の問題により、完全性に全面的な影響を及ぼす可能性のある脆弱性が存在します。機密性、可用性には影響しません。

CVSS Base Score: 7.5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)


CVEID: CVE-2017-3253
説明: 2D コンポーネントに関連する不特定の問題により、リモートの攻撃者が脆弱性がサービス拒否を引き起こし、可用性に影響を与える可能性のある脆弱性が存在します。

CVSS Base Score: 7.5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)


CVEID: CVE-2016-5548
説明: Libraries コンポーネントに関連する不特定の問題により、リモートの攻撃者が機密情報を取得する可能性があります。

CVSS Base Score: 6.5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)


CVEID: CVE-2016-5549
説明: Libraries コンポーネントに関連する不特定の問題により、リモートの攻撃者が機密情報を取得する可能性があります。

CVSS Base Score: 6.5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)


CVEID: CVE-2017-3252
説明: JAAS コンポーネントに関連する不特定の問題により、完全性に全面的な影響を及ぼす可能性のある脆弱性が存在します。機密性、可用性には影響しません。

CVSS Base Score: 5.8
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:N)


CVEID: CVE-2016-5547
説明: Libraries コンポーネントに関連する不特定の問題により、リモートの攻撃者が脆弱性がサービス拒否を引き起こし、可用性に影響を与える可能性のある脆弱性が存在します。

CVSS Base Score: 5.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)


CVEID: CVE-2016-5552
説明: Networking コンポーネントに関連する不特定の問題により、完全性に全面的な影響を及ぼす可能性のある脆弱性が存在します。機密性、可用性には影響しません。

CVSS Base Score: 5.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)


CVEID: CVE-2017-3261
説明: Networking コンポーネントに関連する不特定の問題により、リモートの攻撃者が機密情報を取得できる可能性のある脆弱性が存在します。

CVSS Base Score: 4.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)


CVEID: CVE-2017-3231
説明: Networking コンポーネントに関連する不特定の問題により、リモートの攻撃者が機密情報を取得できる可能性のある脆弱性が存在します。

CVSS Base Score: 4.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)


CVEID: CVE-2017-3259
説明: Deployment コンポーネントに関連する不特定の問題により、リモートの攻撃者が機密情報を取得できる可能性のある脆弱性が存在します。

CVSS Base Score: 3.7
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)


CVEID: CVE-2016-2183
説明: OpenSSL には、SSL/TLS プロトコルの一部として使用される、DES/3DES 暗号のエラーに起因した問題により、リモートの攻撃者が機密情報を取得できる可能性のある脆弱性が存在します。 大量の暗号化されたトラフィックを SSL/TLS サーバーとクライアントの間でキャプチャすることにより、中間者攻撃を行うことができるリモートの攻撃者が機密情報を取得する可能性があります。 この脆弱性は SWEET32 Birthday 攻撃と呼ばれます。

CVSS Base Score: 3.7
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)

Affected Products and Versions

これらの問題の影響を受けるリリースは以下のとおりです。

IBM Domino 9.0.1 ~ 9.0.1 FP8 IF3
IBM Domino 8.5.3 ~ 8.5.3 FP6 IF18
上記リリース以前の全ての IBM Domino 9.0.x および 8.5.x

Remediation/Fixes

この問題は、問題報告番号 HYUEAHNPDZ および HYUEAHQU7K として IBM Quality Engineering に報告されました。
以下技術文書の JVM タブから、最新の修正パッチをダウンロードして適用してください。

(英文)「Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes/Domino & add-ons」(Technote #1657963)
(英文)「Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, IBM Domino & IBM iNotes」(Technote #1663874)

Get Notified about Future Security Bulletins

References

Complete CVSS v3 Guide
On-line Calculator v3

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「 共通脆弱性評価システム CVSS 概説」をご参照ください。

原文:
(英文)「Security Bulletin: Multiple Vulnerabilities in the IBM SDK Java Technology Edition affect IBM Domino」(Technote #2000516)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: IBM Domino
Security

Software version: 8.5, 9.0

Operating system(s): AIX, Linux, Windows

Reference #: 2004299

Modified date: 03 June 2017


Translate this page: