IBM Support

(参考) IBM WebSphere Portal で使用されている IBM Java SDK における複数の脆弱性 (CVE-2015-7575, CVE-2016-0488, CVE-2016-0466, CVE-2016-0475, CVE-2016-0483)

Security Bulletin


Summary

IBM WebSphere Portal のコンポーネントとして同梱されている IBM WebSphere Application Server と共に出荷されている IBM SDK Java Technology Edition にて、複数の脆弱性が報告されました。
これらの問題は 2016 年 1 月の IBM Java SDK アップデートの一部として明らかにされ、一般に "SLOTH" と呼ばれる脆弱性を含みます。

Vulnerability Details


この文書では、オラクル社より 2016 年 1 月 Critiral Patch Update (CPU) の一部として公開された Java SE の問題で、IBM SDK Java Technology Edition に影響する脆弱性について説明します。IBM Java SDK には他のセキュリティー勧告も含まれますが、WebSphere Portal にはそれらの脆弱性の影響はありません。

お客様が開発されたコードに関しても、脆弱性の影響を受けるかご確認ください。WebSphere Portal には影響しない勧告についての詳細は、下記の Reference セクションのリンク先文書を参照してください。

CVEID: CVE-2015-7575
説明: TLS プロトコルには、TLS ハンドシェイク中に ServerKeyExchange メッセージに署名するために MD5 ハッシュ関数を使用する場合に、衝突攻撃によってセキュリティが弱くなる可能性があります。
攻撃者は TLS サーバーを偽装する中間者攻撃 (man-in-the-middle) 手法で、この脆弱性を悪用する可能性があります。この脆弱性は、一般に "SLOTH" と呼ばれています。

CVSS Base Score: 7.1
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)

CVEID: CVE-2016-0448
説明: JMX コンポーネントに関連した不特定の脆弱性により、リモートの攻撃者が機密情報を入手する可能性があります。

CVSS Base Score: 4
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:S/C:P/I:N/A:N)

CVEID: CVE-2016-0466
説明: JAXP コンポーネントに関連した不特定の脆弱性により、リモートの攻撃者がサービス妨害攻撃を実行する可能性があります。

CVSS Base Score: 5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:P)

CVEID: CVE-2016-0475
説明: Libraries コンポーネントに関連した不特定の問題により、機密性、完全性に部分的な影響を及ぼす可能性のある脆弱性が存在します。可用性には影響しません。

CVSS Base Score: 5.8
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:N)

CVEID: CVE-2016-0483
説明: AWT コンポーネントに関連した不特定の問題により、機密性、完全性、可用性に全面的な影響を及ぼす可能性のある脆弱性が存在します。

CVSS Base Score: 10
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Affected Products and Versions


WebSphere Portal 8.5
WebSphere Portal 8.0
WebSphere Portal 7.0
WebSphere Portal 6.1.5
WebSphere Portal 6.1

サポートが終了しているバージョンに関しては、サポート対象のバージョンにアップグレードし、修正を適用することを推奨します。

Remediation/Fixes


IBM Java SDK に最新の修正を適用することを推奨します。

以下の文書を参照し、WebSphere Application Server のバージョンに合わせ、SDK をアップグレードしてください。
(英文)「Security Bulletin: Multiple vulnerabilities in IBMR Java SDK affect WebSphere Application Server January 2016 CPU (CVE-2016-0475, CVE-2016-0466, CVE-2015-7575, CVE-2016-0448)」(Technote #1975424)

Workarounds and Mitigations

なし

Get Notified about Future Security Bulletins

Important note

IBM strongly suggests that all System z customers be subscribed to the System z Security Portal to receive the latest critical System z security and integrity service. If you are not subscribed, see the instructions on the System z Security web site. Security and integrity APARs and associated fixes will be posted to this portal. IBM suggests reviewing the CVSS scores and applying all security or integrity fixes as soon as possible to minimize any potential risk.

References

Complete CVSS v2 Guide
On-line Calculator v2
Complete CVSS v3 Guide
On-line Calculator v3

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「 共通脆弱性評価システム CVSS 概説」(CVSS V2) および「 共通脆弱性評価システム CVSS 概説」(CVSS V3) をご参照ください。

原文:
(英文)「Security Bulletin: Multiple vulnerabilities in IBMR Java SDK affect WebSphere Portal (CVE-2015-7575, CVE-2016-0448, CVE-2016-0466, CVE-2016-0475, CVE-2016-0483)」(Technote #1975918)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: WebSphere Portal

Software version: 6.1, 6.1.5, 7.0, 8.0, 8.5

Operating system(s): AIX, HP-UX, IBM i, Linux, Solaris, Windows, z/OS

Reference #: 1976400

Modified date: 09 February 2016


Translate this page: