IBM Support

【セキュリティ情報】IBM Websphere Message Broker, IBM Integration Bus Messaging SSL 3.0 の脆弱性の影響について (CVE-2014-3566)

Security Bulletin


Summary

SSL 3.0 (SSLv3) には、POODLE 攻撃が行われた場合、暗号化データを解読される脆弱性があります。
IBM WebSphere Message Broker と IBM Integration BusではデフォルトでSSLv3が有効になっています。

Vulnerability Details

CVE-ID: CVE-2014-3566
内容:
IBM WebSphere Message Broker と IBM Integration Bus でSSL 3.0 (SSLv3) を有効にしていると、悪意のあるユーザーによる中間者攻撃 (man-in-the-middle attack) により、暗号化されたデータの内容が盗聴される危険性があります。
この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。

CVSS Base Score: 4.3
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/97013 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)

OpenSSLセキュリティ脆弱性 (CVE-20140-3568)

この脆弱性は、WebSphere Message Brokerもしくは、 IBM Integration Bus.に組み込まれているData Direct ドライバーを使用した、DataDirect ODBC SSL接続のみ影響があります。 

CVE-ID: CVE-2014-3568
内容:
OpenSSL セキュリティ制限を回避することを許します。“SSL 3.0”のサポートを無効化する“no-ssl3”オプションを指定してビルドしても“SSL 3.0”接続を受け付けを許可する脆弱性。

CVSS Base Score: 2.6
CVSS Temporal Score: https://exchange.xforce.ibmcloud.com/vulnerabilities/97037 for more information
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/Au:N/C:N/I:P/A:N)

Affected Products and Versions

次の製品に影響があります。

IBM Websphere Message Broker V7.0 and V8.0

IBM Integration Bus V9.0

IBM WebSphere Message Broker Hypervisor Edition V8.0

IBM Integration Bus Hypervisor Edition V9.0

IBM SOA Policy pattern for Red hat Enterprise Linux Server

Workarounds and Mitigations

WebSphere Message Broker and IBM Integration Bus

次のリンクに使用可能なプロトコルがリストされています。
http://www-01.ibm.com/support/knowledgecenter/SSYKE2_7.0.0/com.ibm.java.security.component.70.doc/security-component/jsse2Docs/protocols.html


WebSphere Message Broker と IBM Integration Busでは、SSLv3 を無効化し、TLSプロトコルを使用することを推奨します。
SSLv3 の代わりにTLSの使用方法は、次のIBM Knowledge Center に記載されています。この手順は、現在サポートされているすべてのバージョンにおいて有効です。


インバウンド接続

インバウンド接続の攻撃を受ける可能性があります。サーバーがSSLv3を許可しない場合、アウトバウンド接続が停止するかもしれません。

・ブローカー全体の HTTP リスナーを使用したインバウンドHTTP接続:
手順: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12234_.htm
mqsichangeproperties broker name -b httplistener -o HTTPSConnector -n sslProtocol -v TLS


・統合サーバーリスナーのインバウンドHTTP接続 は、デフォルトでTLS()を使用します。
しかし、ブローカー全体のリスナーに一致するように修正される場合、TLSを使用するために必要な次の手順を実施してください。
手順:
http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12234_.htm
mqsichangeproperties broker name -e integration_server_name -o HTTPSConnector -n sslProtocol -v TLS

・非デフォルト・ブローカー全体リスナーのインバウンドSOAP接続:
手順: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12234_.htm
mqsichangeproperties broker name -b httplistener -o HTTPSConnector -n sslProtocol -v TLS


・統合サーバーリスナー(デフォルト選択)のインバウンドSOAP接続: は、デフォルトでTLSを使用します。ブローカー全体のリスナーに一致するように修正される場合、TLSを使用するために必要な次の手順を実施してください。
手順:
http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12234_.htm
mqsichangeproperties broker name -e integration_server_name -o HTTPSConnector -n sslProtocol -v TLS

・TCPIPサーバーインバウンド:
手順:
http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/bp34105_.htm
mqsichangeproperties MYBROKER -c TCPIPServer -o myTCPIPServerService -n SSLProtocol  -v TLS

・WebAdminインバウンド:
手順:
http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/bj23620_.htm
mqsichangeproperties brokerName -b webadmin -o HTTPSConnector -n sslProtocol -v TLS


・odbc.ini でODBC(DataDirect) OpenSSL を構成している場合:
ODBC Oracle Wire プロトコルドライバーは、EncryptionMethod接続のオプションに"5"を設定することができます。これは、TLS1 もしくはTLS1.0以降を使用することを意味します。
ODBC Oracle Wire プロトコルドライバーにEncryptionMethod=5を設定することにより、POODLE攻撃を避けることができます。この機能は、Oracle WPドライバーの6.1のバージョンから利用できます。
DataDirectドライバーの提供者はSSLをサポートする他の全てのODBCドライバに同程度の機能性に取り組んでいます、そして、SSLのネゴシエーションを拡張するためにOpenSSLのバージョンをグレードアップに取り組んでいます。
クライアント・ベースのODBCドライバー(DB2クライアントとInfomixクライアント)は、Database のクライアント・ライブラリーのSSL実装に依存します。POODLE攻撃の可能性について学ぶために、クライアント・ライブラリーのドキュメンテーションを参照してください。


アウトバウンド接続
サーバーが一旦SSLv3に賛成してTLSを使うために変わるならば、以下のコマンドでアウトバウンドの設定を更新する必要があります。
以下のすべての指示において、TLSは必要ならばSSL_TLSまたはSSL_TLSv2を置き換えることができます(例えばサーバーがTLSを使うためにアップデートされている間、過渡期にSSLv3に代替システムをサポートするために)。
この変更を使用するには、ToolkitのAPAR IT04685 が必要です。IBMテクニカル・サポートにご連絡ください。

・HTTP 接続
手順: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12235_.htm
リクエストノードのSSLタブでTLSプロトコルを選択してください。

非デフォルトSSLv3プロトコルを使うために修正されたSOAP接続
手順: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap34022_.htm
リクエストノードのSSLタブでTLSプロトコルを選択してください。

TCPIP クライアント:
一般情報: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/bp34100_.htm
mqsichangeproperties MYBROKER -c TCPIPClient -o myTCPIPClientService -n SSLProtocol -v TLS

・JMSノード:
一般情報: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/ap12237_.htm
JMSプロバイダーからの指示に従ってください。

・CICSノード:
一般情報: http://www-01.ibm.com/support/knowledgecenter/SSMKHH_9.0.0/com.ibm.etools.mft.doc/bc16170_.htm?cp=SSMKHH_9.0.0%2F1-14-2-1-5-5
CICSノードは、デフォルトでTLSを使用しますので、変更の必要はありません。

・セキュリティ・プロバイダー:
WSTrust:
環境変数 MQSI_STS_SSL_PROTOCOL に "TLS" をセットしてください。

TFIM:
環境変数 MQSI_TFIM_SSL_PROTOCOL に "TLS" をセットしてください。


SSLv3プロトコルを使用するエリア、SSLv3を無効化するような処置をとるエリアなどお客様環境全体を見直しいただき、適切な対応策の検討を推奨します。


WebSphere Message Broker v8 HVE, IBM Integration Bus V9 HVE and IBM SOA Policy pattern for Red hat Enterprise Linux Server
オペレーティングシステムを含むSSLv3の脆弱性を確認いただき、適切な緩和と改善措置をとるために、環境全体を見直されることを推奨いたします。
詳細はあなたのオペレーティングシステム・プロバイダーに連絡してください。

Get Notified about Future Security Bulletins

Important note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2
.  
[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin : IBM Websphere Message Broker and IBM Integration Bus are affected by SSLv3 Vulnerability (CVE-2014-3566)

【セキュリティ情報】IBM WebSphere MQ, IBM WebSphere MQ Internet Pass-Thru, IBM Mobile Messaging and M2M Client Pack SSL 3.0 の脆弱性 (CVE-2014-3566)

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for IBM Integration Bus and WebSphere Message Broker

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
IBM Integration Bus and WebSphere Message Broker planned maintenance release dates

[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版
Online Calculator V2 (日本語)

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
.
【お問合せ先】
技術的な内容に関して、サービス契約のあるお客様はIBMサービス・ラインにお問い合わせください。
IBM サービス・ライン

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

関連情報

An US English translation is available

Document information

More support for: WebSphere Message Broker
Security

Software version: 7.0, 8.0

Operating system(s): AIX, HP-UX, Linux, Solaris, Windows

Reference #: 1688262

Modified date: 26 November 2014