IBM WebSphere MQ 7.0.1.x/7.1.0.x < 7.1.0.9/7.5.0.x < 7.5.0.8/8.0.0.x < 8.0.0.6/9.0.0.x < 9.0.0.1の複数の脆弱性

critical Nessus プラグイン ID 96663
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートホストにインストールされているメッセージキューイングサービスは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートのWindowsホストにインストールされているIBM WebSphere MQサーバーは、パッチAPAR IT14385なしのバージョン7.0.1.x、7.1.0.9より前の7.1.0.x、7.5 0.8より前の7.5.0.x、8.0.0.6より前の8.0.0.x、9.0.0.1より前の9.0.0.xのいずれかです。したがって、以下の複数の脆弱性による影響を受けます。- Javaオブジェクトを逆シリアル化する際、入力が不適切にサニタイズされるため、Java Message Service(JMS)のJMSJMSObjectMessageクラスに欠陥があります。認証されているリモートの攻撃者がこれを悪用し、任意のコードを実行する可能性があります。(CVE-2016-0360)-不適切なデータ変換処理による欠陥があるため、認証されたリモートの攻撃者がMQチャネルをクラッシュさせる可能性があります。(CVE-2016-3013)-非標準の構成により、パスワードデータがクリアテキストでネットワークに送信される欠陥があります。間にいる攻撃者が、この脆弱性を悪用して、パスワードを漏えいする可能性があります。(CVE-2016-3052)-詳細不明の欠陥があるため、キューマネージャーとキューにアクセス権のある認証されたリモートの攻撃者が、同じプロセスで実行されている他のチャネルへのサービス拒否を引き起こす可能性があります。(CVE-2016-8915)-認証されていないリモートの攻撃者が詳細不明な影響を与える可能性のある欠陥があります。これ以上の詳細情報はありません。(CVE-2016-8971)-キューマネージャーにアクセス権のある認証されたリモートの攻撃者が、特別に細工されたHTTPリクエストを使用してMQチャネルを中断させ、サービス拒否状態にできる詳細不明の欠陥があります。(CVE-2016-8986)-クラスターオブジェクトを作成する権限を持つ、認証されたリモートの攻撃者がMQクラスタリングでサービス拒否状態を引き起こす可能性のある詳細不明な欠陥があります。(CVE-2016-9009)

ソリューション

適切なフィックスパック、APARパッチ、軽減策を適用してください。-バージョン7.0.1.xの場合、パッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。-バージョン7.1.0.xの場合、利用可能なときにフィックスパック9(7.1.0.9)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。-バージョン7.5.0.xの場合、利用可能なときにフィックスパック8(7.5.0.8)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。-バージョン8.0.0.xの場合、利用可能なときにフィックスパック6(8.0.0.6)を適用します。当面はObjectMessageではなくJSONまたはXMLを使用し、MQのAdvanced Message Security(AMS)メカニズムを有効にします。-バージョン9.0.0.xの場合、利用可能なときにフィックスパック1(9.0.0.1)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。

関連情報

https://www-01.ibm.com/support/docview.wss?uid=swg21983457

https://www-01.ibm.com/support/docview.wss?uid=swg1SE66318

プラグインの詳細

深刻度: Critical

ID: 96663

ファイル名: websphere_mq_swg21983457.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2017/3/3

更新日: 2019/11/13

依存関係: websphere_mq_installed.nasl

構成: パラノイドモードの有効化

リスク情報

CVSS スコアのソース: CVE-2016-0360

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:websphere_mq

必要な KB アイテム: installed_sw/IBM WebSphere MQ, Settings/ParanoidReport

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/1/6

脆弱性公開日: 2017/1/6

参照情報

CVE: CVE-2016-0360, CVE-2016-3013, CVE-2016-3052, CVE-2016-8915, CVE-2016-8971, CVE-2016-8986, CVE-2016-9009

BID: 95317, 96394, 96400, 96403, 96412, 96441