IBM Support

(参考) IBM Java SDK と IBM Java Runtime Version 8 SRFP10 の複数の脆弱性が IBM Notes/Domino に与える影響について

Security Bulletin


Summary

IBM SDK Java Technology Edition Version と IBM Runtime Environment Java Version 8 SR4FP10 には複数の脆弱性があり、IBM Notes/Domino は影響を受けます。これらの問題は IBM Java Version 8 SR5FP21 で修正されました。

Vulnerability Details

CVEID:  CVE-2018-2964
DESCRIPTION:  Java SE Deployment コンポーネントに関する不特定の脆弱性があるため、認証されていない攻撃者がシステムを制御できる可能性があります。
CVSS Base Score: 8.3
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

CVEID:  CVE-2018-2973
DESCRIPTION:  Java SE JSSE コンポーネントに関する不特定の脆弱性があるため、認証されていない攻撃者が機密性および可用性に影響なく、完全性に高い影響を与える可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)

CVEID:  CVE-2018-2940
DESCRIPTION:  Java SE Libraries コンポーネントに関する不特定の脆弱性があるため、認証されていない攻撃者が機密情報を取得して機密性に影響を与える可能性があります。
CVSS Base Score: 4.3
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)

CVEID:  CVE-2018-2952
DESCRIPTION:  Java SE Concurrency コンポーネントに関する不特定の脆弱性があるため、認証されていない攻撃者がサービスの拒否によって可用性に影響を与える可能性があります。
CVSS Base Score: 3.7
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID:  CVE-2018-1656
DESCRIPTION:  IBM Java Runtime Environment 上の Diagnostic Tooling Framework for Java (DTFJ) は圧縮されたダンプファイルを展開する時にパストラバーサル攻撃に関する脆弱性が存在します。
CVSS Base Score: 7.4
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N)

CVEID: CVE-2018-12539
DESCRIPTION: Eclipse OpenJ9 にはローカル攻撃者がシステム上の権限昇格を獲得する可能性があり、Eclipse OpenJ9 や 同マシンの IBM Java に接続するための Java Attach API の使用制限や、プロセスオーナーのみに対して Attach API 操作を使用する制限に失敗する可能性があります。攻撃者はこの問題を利用して信頼されていないネイティブコードを実行したりシステム上で権限昇格される可能性があります。
CVSS Base Score: 8.4
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

CVEID:  CVE-2018-1517
DESCRIPTION:  IBM SDK および Java Technology Edition における java.math コンポーネントの問題により特殊に細工された文字列データを使用した DoS 攻撃の影響を受ける可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)

CVEID: CVE-2016-0705
DESCRIPTION: OpenSSL には DSA プライベートキーの処理する際の二重解放による、サービス運用妨害に関する脆弱性があります。
攻撃者はこの問題を利用してメモリを破損させたりサービス不能を引き起こしたりする可能性があります。
CVSS Base Score: 3.7
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)

CVEID: CVE-2017-3732
DESCRIPTION: OpenSSL には x86_64 モンゴメリ乗算プロシージャーのキャリー伝播に問題があるためリモート攻撃者が機密性情報を入手可能になる脆弱性が存在します。攻撃者はこの問題を利用して秘密鍵の情報を獲得する可能性があります。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

CVEID: CVE-2017-3736
DESCRIPTION: OpenSSL には x86_64 モンゴメリ乗算関数 bn_sqrx8x_internal() にキャリー伝播の問題があるためリモート攻撃者が機密性情報を入手可能になる脆弱性が存在します。攻撃者はこの問題を利用してパッチの適用されていないシステムにオンラインでアクセスし、秘密鍵の情報を取得する可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: 現在のスコアについては、IBM X-Force Database  を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions

この問題の影響を受けるバージョンは以下のとおりです。
IBM Notes Standard Client 9.0.1 - 9.0.1 FP10
IBM Domino 9.0.1 - 9.0.1 FP10
IBM Notes/Domino 9.0 (全ての Fix Pack および、Interim Fix)


注意:IBM Notes/Domino 10 には JVM Version 8 SR5FP21 が同梱されているためこの問題の影響を受けません。

Remediation/Fixes

これらの脆弱性の問題を修正するための スタンドアロン JVM パッチをダウンロードするには、以下のリンク先で JVM タブを参照してください。

Interim Fixes & JVM Patches for 9.0.1 Feature Pack 10 versions of IBM Notes, Domino & iNotes

「IBM Java SDK と IBM Java Runtime バージョン 8 SRFP10 の複数の脆弱性」は問題報告番号 ARUIB4TSEA として報告されています。

Workarounds and Mitigations

ありません。 

Get Notified about Future Security Bulletins

Reference

Complete CVSS v3 Guide
On-line Calculator v3

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

IBM i と Mac に関して:

  • Domino for IBM i は今回の問題を含む JVM はインストールされていません。JVM は OS レベルでインストールされてており、JVM の更新は累積 PTF とJava グループ PTF を通して提供されます。詳細な情報に関しては、次のリンクをご確認ください: IBM i PTF | Java on IBM i
  • Mac 向けの JVM インストーラーは提供されません。Mac プラットフォーム向けの IBM Notes は JVM が同梱されておらず、Mac OS 上の JVM を使用します。したがって、Mac 向けの JVM の更新は Apple 社より直接導入する必要があります。

 

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

原文:
(英文)「Security Bulletin: Multiple vulnerabilities in IBM Java SDK and IBM Java Runtime Version 8 SR4FP10 affect IBM Notes and Domino」(Technote #0740269 )

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

Change History

2018/11/20: 初版公開

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES ""AS IS"" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.


Cross reference information
Product Component Platform Version Edition
IBM Notes Windows 9.0.0x, 9.0.1 through 9.0.1 FP10

Document information

More support for: IBM Domino

Software version: 9.0.0x, 9.0.1 through 9.0.1 FP10

Operating system(s): AIX, Linux, Windows

Reference #: 0740743

Modified date: 20 November 2018