Security Bulletin
Summary
WebSphere Application Server traditional 9.0.0.4 から、 PasswordUtil コマンドに対してAESを用いたパスワード暗号化を有効にする新しい機能が追加されました。
この機能を用いた際に、特定の条件でパスワードが暗号化されない脆弱性が報告されました。
この新機能を使用していなければ、今回の脆弱性の影響は受けません。
デフォルトのXORエンコーディングを使用している場合、もしくはパスワードを独自の方法で暗号化している場合も、今回の脆弱性の影響は受けません。
Vulnerability Details
最新の情報については、下記URLの文書(英語)をご参照ください。
Security Bulletin: Weaker than expected security in WebSphere Application Server (CVE-2017-1504)
https://www.ibm.com/support/docview.wss?uid=swg22006803
CVEID: CVE-2017-1504
DESCRIPTION:IBM WebSphere Application Server Version 9.0.0.4 はPasswordUtil コマンドによってAESによるパスワードの暗号化を有効にした場合、特定の条件でパスワードが暗号化されないため、予期したセキュリティ・レベルが提供されない可能性があります。
CVSS基本値 : 5.3
CVSS現状値: https://exchange.xforce.ibmcloud.com/vulnerabilities/129579
現状値はこちらのURLでご確認ください。
CVSS環境値: 未定義
CVSS区分: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)
Affected Products and Versions
この脆弱性は以下のバージョン、リリースのIBM WebSphere Application Server に影響を与えます。
- Version 9.0.0.4 - PasswordUtil コマンドを使用してAESによるパスワードの暗号化を有効にした場合
Remediation/Fixes
該当する製品に対して、速やかにAPAR PI82602 を含む個別修正モジュール、フィックスパック、もしくは PTFを適用することを推奨します。
※デフォルトのXORエンコーディングを使用している場合、もしくはパスワードを独自の方法で暗号化している場合は、今回の脆弱性の影響は受けません。
For WebSphere Application Server traditional and WebSphere Application Server Hypervisor Edition:
For 9.0.0.4:
・個別修正モジュール APAR PI82602 を適用します。
--または--
・Fix Pack 9.0.0.5以降へアップデートします。
※Fix Pack 9.0.0.5は、 2017年09月29日にリリース予定です。(2017/08/25時点)
Get Notified about Future Security Bulletins
References
Change History
2017/08/25 初版発行
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
15 June 2018
UID
swg22006902