IBM Support

【セキュリティ情報】IBM WebSphere MQ へのGSKit の脆弱性の影響(CVE-2015-0159, CVE-2015-0138 and CVE-2014-6221)

Security Bulletin


Summary

IBM WebSphere MQに含まれるGSKitに複数の脆弱性が存在します。FREAK(Factoring Attack on RSA-EXPORT keys)と呼ばれるTLS/SSL通信時の脆弱性を含みます。

Vulnerability Details

脆弱性の詳細:

CVEID: CVE-2014-6221
DESCRIPTION:
Random Data Generation using GSKit MSCAPI/MSCNG Interface Code does not generate cryptographically random data. An attacker could use this weakness to gain complete confidentially and/or integrity compromise.
CVSS Base Score: 8.8
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/98929 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:C/I:C/A:N)

CVEID: CVE-2015-0138
DESCRIPTION: A vulnerability in various IBM SSL/TLS implementations could allow a remote attacker to downgrade the security of certain SSL/TLS connections. An IBM SSL/TLS client implementation could accept the use of an RSA temporary key in a non-export RSA key exchange ciphersuite. This could allow a remote attacker using man-in-the-middle techniques to facilitate brute-force decryption of TLS/SSL traffic between vulnerable clients and servers.

This vulnerability is also known as the FREAK attack.

CVSS Base Score: 4.3
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/100691 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:N/I:P/A:N)

CVEID: CVE-2015-0159
DESCRIPTION: An unspecified error in GSKit usage of OpenSSL crypto function related to the production of incorrect results on some platforms by Bignum squaring (BN_sqr) has an unknown attack vector and impact in some ECC operations.
CVSS Base Score: 2.6
CVSS Temporal Score: See http://exchange.xforce.ibmcloud.com/#/vulnerabilities/100835 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:H/Au:N/C:N/I:P/A:N)

Affected Products and Versions

影響のある製品・バージョン:

次の製品に影響があります。

IBM WebSphere MQ V7.0.1

  • AIX, HP-UX, Linux, Solaris & Windows

IBM WebSphere MQ 7.1
  • AIX, HP-UX, Linux, Solaris & Windows

IBM WebSphere MQ 7.5
  • AIX, HP-UX, Linux, Solaris & Windows

IBM WebSphere MQ 8.0
  • AIX, HP-UX, Linux, Solaris & Windows

IBM MQ Appliance M2000

Remediation/Fixes

修正策:


次のMQのCipherSpecのいずれかを使用するチャネル定義をより強力な暗号化アルゴリズムを使用するように変更することを推奨いたします。

  • RC4_MD5_EXPORT
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • RC2_MD5_EXPORT
  • TLS_RSA_EXPORT_WITH_RC2_40_MD5


Note : 今後FIPS 140-2に認定されていない、より弱いアルゴリズムの使用するMQ ChiferSpecは将来の製品メンテナンスで廃止される可能性があることに注意してください。現在利用可能なMQのCipherSpecのさらなる詳細を ここから参照できます。

次の修正を導入してください。

IBM WebSphere MQ

Fix Central から iFix APAR IV70568 をダウンロードし、導入してください。

IBM MQ Appliance M2000
この修正が含まれるファームウェアはリリース済みですので、ファームウェアをアップデートしてください。詳細については、IBMサポートにお問い合わせください。

Workarounds and Mitigations

回避策/軽減策:

Note : IBM i の(すべてのリリース)用のIBM WebSphere MQはこれらの脆弱性のいずれかに影響されません。、しかし、システム値QSSLCSLにより EXPORT 暗号化アルゴリズムの使用を制限することをお勧めします。


他の分散プラットフォームでは、キュー・マネージャーでFIPSモードを有効にすると、インバウンド接続、アウトバウンド接続でのEXPORT暗号化アルゴリズムの使用を防ぎます。

MQチャネルプロトコルは、チャンネルSSLCIPHの検証を経て、セキュアソケットプロトコルおよび/または暗号スイートのマン・イン・ザ・ミドルグレードから保護します。
ハンドシェクの成功後、チャネル接続ではまずネゴシエーション処理が実施され、処理中にEXPORT暗号化アルゴリズムがないか検知します。もしも検知された場合は、チャネルはメッセージデータの送受信は行わず、接続を終了する前にキュー・マネージャーのエラー・ログにAMQ9631エラーを記録します。

Get Notified about Future Security Bulletins

Important note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2
.

参照情報:

[IBMサイト]
この文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、以下のリンクよりご参照ください。
Security Bulletin: Vulnerabilities in GSKit affect IBM WebSphere MQ (CVE-2015-0159, CVE-2015-0138 and CVE-2014-6221)

公開済みのフィックスパックについては、以下のサイトよりご利用いただけます。
Recommended fixes for WebSphere MQ

フィックス・パックの公開予定については、以下のサイトよりご確認いただけます。
WebSphere MQ planned maintenance release dates

[CVSS情報]
独立行政法人 情報処理推進機構: 共通脆弱性評価システムCVSS概説
JVN iPedia: CVSS計算ソフトウェア日本語版

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
.
関連情報:
.
[お問合せ先]
技術的な内容に関して、サービス契約のあるお客様はIBMサービス・ラインにお問い合わせください。
IBM サービス・ライン

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

関連情報

An US English translation is available

Document information

More support for: WebSphere MQ
SSL

Software version: 7.0, 7.0.1, 7.1, 7.5, 8.0

Operating system(s): AIX, HP-UX, IBM i, Linux, Solaris

Software edition: All Editions

Reference #: 1700423

Modified date: 02 April 2015