IBM Tivoli Access Manager for e-Business < 6.0.0.33 / 6.1.0.14 / 6.1.1.10 SSL の複数の脆弱性

low Nessus プラグイン ID 80479
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートホストにインストールされたアクセスおよび承認コントロール管理システムが、複数の脆弱性の影響を受けています。

説明

その自己報告バージョンによると、IBM Tivoli Access Manager for e-Business のインストールは、複数の脆弱性の影響を受けます:

- 楕円曲線デジタル署名アルゴリズム(ECDSA)の実装に関連するエラーが存在します。このため、「FLUSH+RELOAD」キャッシュサイドチャネル攻撃を通じて、 nonce を漏洩できます。(CVE-2014-0076)

- サービス拒否の脆弱性が存在し、攻撃者が特別に細工された SSL リクエストを使用して、ホストを応答不能にさせる可能性があります。この問題の影響を受けるのは、WebSEAL コンポーネントのみで、回避策が利用できます。(CVE-2014-0963)

ソリューション

暫定修正 6.0.0-ISS-TAM-IF0033 / 6.1.0-ISS-TAM-IF0014 / 6.1.1-ISS-TAM-IF0010 または以降を適用してください。

関連情報

http://www-01.ibm.com/support/docview.wss?uid=swg21672950

https://www-01.ibm.com/support/docview.wss?uid=swg21673008

プラグインの詳細

深刻度: Low

ID: 80479

ファイル名: tivoli_access_manager_ebiz_6_1_1_10.nasl

バージョン: 1.5

タイプ: local

ファミリー: Misc.

公開日: 2015/1/13

更新日: 2019/11/25

依存関係: tivoli_access_manager_ebiz_installed_components_cred.nasl

リスク情報

CVSS スコアのソース: CVE-2014-0076

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

Base Score: 1.9

Temporal Score: 1.4

ベクトル: AV:L/AC:M/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:ibm:tivoli_access_manager_for_e-business

必要な KB アイテム: installed_sw/IBM Access Manager for e-Business / IBM Security Access Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/5/2

脆弱性公開日: 2014/5/6

参照情報

CVE: CVE-2014-0076, CVE-2014-0963

BID: 66363, 67238