Security Bulletin: IBM WebSphere MQ Advanced Message Security for IBM i へのOpenSSLの脆弱性 (CVE-2016-2106, CVE-2016-2109)

Summary

2016年5月3日にOpenSSL Projectによって、OpenSSLの脆弱性が開示されました。
OpenSSLは、IBM WebSphere MQ Advanced Message Security for IBM iプラットフォームで使用されています。
IBM WebSphere MQは掲題のCVEに対処しました。

最新の情報については下記の文書（英語）をご参照ください。
Security Bulletin: Vulnerabilities in OpenSSL affect IBM WebSphere MQ (CVE-2016-2106, CVE-2016-2109)
http://www.ibm.com/support/docview.wss?uid=swg21998797

Vulnerability Details

CVEID: CVE-2016-2106 DESCRIPTION: OpenSSL には、EVP_EncryptUpdate() 関数による不正なバウンドチェックにより、ヒープベースのバッファオーバーフローを引き起こす脆弱性があります。非常に長い引数を送信することにより、リモート攻撃者はバッファオーバーフローを引き起こし、システムで任意のコードを実行してアプリケーションをクラッシュさせる可能性があります。
CVSS Base Score: 5.6
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/112856 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)

CVEID: CVE-2016-2109 DESCRIPTION: OpenSSL には、メモリアロケーションエラーにより引き起こされるサービス運用妨害の脆弱性があります。d2i_CMS_bio() などのファンクションを使用して、特別に生成された ASN.1 をBIO から読み込むことで、攻撃者は、この脆弱性を利用してすべての利用可能なリソースを消費してメモリ不足にすることができます。
CVSS Base Score: 5.3
CVSS Temporal Score: 現在のスコアは https://exchange.xforce.ibmcloud.com/vulnerabilities/112857 を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

Affected Products and Versions

IBM WebSphere MQ V8.0 - Advanced Message Security on IBM i のみ
IBM WebSphere MQ 8.0.0.5 以前の保守レベル

Remediation/Fixes

IBM WebSphere MQ V8.0

メンテナンス・レベル 8.0.0.6 を適用します。

注意： CVE-2016-2108の修正は、OpenSSLバージョン1.0.1oと1.0.2cで提供されていて、IBM WebSphere MQは既に対応済みです。

Workarounds and Mitigations

なし