IBM WebSphere MQ 7.0.1.x/7.1.0.x < 7.1.0.9/7.5.0.x < 7.5.0.8/8.0.0.x < 8.0.0.6/9.0.0.x < 9.0.0.1の複数の脆弱性

critical Nessus プラグイン ID 96663

概要

リモートホストにインストールされているメッセージキューイングサービスは、複数の脆弱性の影響を受けます。

説明

According to its self-reported version, the IBM WebSphere MQ server installed on the remote Windows host is version 7.0.1.x without patch APAR IT14385, 7.1.0.x prior to 7.1.0.9, 7.5.0.x prior to 7.5.0.8, 8.0.0.x prior to 8.0.0.6, or 9.0.0.x prior to 9.0.0.1. したがって、以下の複数の脆弱性による影響を受けます。

- A flaw exists in the Java Message Service (JMS) in the JMSObjectMessage class due to improper sanitization of input when deserializing Java objects. An authenticated, remote attacker can exploit this to execute arbitrary code. (CVE-2016-0360)

- A flaw exists due to improper data conversion handling that allows an authenticated, remote attacker to crash the MQ channel. (CVE-2016-3013)

- A flaw exists that under nonstandard configurations causes password data to be sent in cleartext over the network. A man-in-the-middle attacker can exploit this to disclose passwords. (CVE-2016-3052)

- An unspecified flaw exists that allows an authenticated, remote attacker, who has access to the queue manager and queue, to cause a denial of service to other channels running under the same process. (CVE-2016-8915)

- A flaw exists that allows an unauthenticated, remote attacker to have an unspecified impact. これ以上の詳細情報はありません。(CVE-2016-8971)

- An unspecified flaw exists that allows an authenticated, remote attacker, who has access to the queue manager, to disrupt MQ channels using specially crafted HTTP requests, resulting in a denial of service condition.
(CVE-2016-8986)

- An unspecified flaw exists that allows an authenticated, remote attacker, who has authority to create cluster objects, to cause a denial of service condition in MQ clustering. (CVE-2016-9009)

ソリューション

Apply the appropriate fix pack, APAR patch, or mitigation :

- For versions 7.0.1.x, apply the patch APAR IT14385 and follow the instructions in the patch readme to apply serialization whitelisting.

-バージョン7.1.0.xの場合、利用可能なときにフィックスパック9(7.1.0.9)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。

-バージョン7.5.0.xの場合、利用可能なときにフィックスパック8(7.5.0.8)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。

-バージョン8.0.0.xの場合、利用可能なときにフィックスパック6(8.0.0.6)を適用します。当面はObjectMessageではなくJSONまたはXMLを使用し、MQのAdvanced Message Security(AMS)メカニズムを有効にします。

-バージョン9.0.0.xの場合、利用可能なときにフィックスパック1(9.0.0.1)を適用します。当面はパッチAPAR IT14385を適用し、パッチのreadmeの指示に従って、シリアル化ホワイトリスト作成を適用します。

参考資料

https://www-01.ibm.com/support/docview.wss?uid=swg21983457

https://www-01.ibm.com/support/docview.wss?uid=swg1SE66318

プラグインの詳細

深刻度: Critical

ID: 96663

ファイル名: websphere_mq_swg21983457.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2017/3/3

更新日: 2019/11/13

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2016-0360

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:websphere_mq

必要な KB アイテム: Settings/ParanoidReport, installed_sw/IBM WebSphere MQ

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/1/6

脆弱性公開日: 2017/1/6

参照情報

CVE: CVE-2016-0360, CVE-2016-3013, CVE-2016-3052, CVE-2016-8915, CVE-2016-8971, CVE-2016-8986, CVE-2016-9009

BID: 95317, 96394, 96400, 96403, 96412, 96441