IBM Support

【セキュリティ情報】 WebSphere Application Server で予期せずセキュリティ・レベルが低くなる 脆弱性(CVE-2017-1504)

Security Bulletin


Summary

WebSphere Application Server traditional 9.0.0.4 から、 PasswordUtil コマンドに対してAESを用いたパスワード暗号化を有効にする新しい機能が追加されました。
この機能を用いた際に、特定の条件でパスワードが暗号化されない脆弱性が報告されました。

この新機能を使用していなければ、今回の脆弱性の影響は受けません。
デフォルトのXORエンコーディングを使用している場合、もしくはパスワードを独自の方法で暗号化している場合も、今回の脆弱性の影響は受けません。

Vulnerability Details

最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Weaker than expected security in WebSphere Application Server (CVE-2017-1504)
https://www.ibm.com/support/docview.wss?uid=swg22006803

CVEID: CVE-2017-1504
DESCRIPTION:IBM WebSphere Application Server Version 9.0.0.4 はPasswordUtil コマンドによってAESによるパスワードの暗号化を有効にした場合、特定の条件でパスワードが暗号化されないため、予期したセキュリティ・レベルが提供されない可能性があります。
CVSS基本値 : 5.3
CVSS現状値: https://exchange.xforce.ibmcloud.com/vulnerabilities/129579
         現状値はこちらのURLでご確認ください。
CVSS環境値: 未定義
CVSS区分: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions

この脆弱性は以下のバージョン、リリースのIBM WebSphere Application Server に影響を与えます。

  • Version 9.0.0.4 - PasswordUtil コマンドを使用してAESによるパスワードの暗号化を有効にした場合

Remediation/Fixes

該当する製品に対して、速やかにAPAR PI82602 を含む個別修正モジュール、フィックスパック、もしくは PTFを適用することを推奨します。
※デフォルトのXORエンコーディングを使用している場合、もしくはパスワードを独自の方法で暗号化している場合は、今回の脆弱性の影響は受けません。

For WebSphere Application Server traditional and WebSphere Application Server Hypervisor Edition:
For 9.0.0.4:
・個別修正モジュール APAR PI82602 を適用します。
--または--
・Fix Pack 9.0.0.5以降へアップデートします。
※Fix Pack 9.0.0.5は、 2017年09月29日にリリース予定です。(2017/08/25時点)

Get Notified about Future Security Bulletins

References

Complete CVSS v3 Guide
On-line Calculator v3

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

Change History

2017/08/25 初版発行

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

関連情報

An US English translation is available

Document information

More support for: WebSphere Application Server
Security

Software version: 9.0

Operating system(s): AIX, HP-UX, IBM i, Solaris, Windows, iOS, z/OS

Software edition: Advanced, Base, Developer, Enterprise, Express, Network Deployment

Reference #: 2006902

Modified date: 28 August 2017