急を要するIBM i OpenSSLセキュリティー欠陥のパッチ適用
IBMは、OpenSSLに最近発見された8種類のセキュリティーの脆弱性を修正するIBM i 6.1~IBM i 7.2用の累積PTFをリリースしました。脆弱性にはいわゆるTLSのLigjam Attackが含まれています。これは5月に発見されたもので、アタッカーが暗号化されたトラフィックを読み取ることができます。8種類の脆弱性はさらにi5/OS V5R3とV5R4にも存在していますがIBMはそれらの修正はしていません。
IBM iのショップは、IBM i 6.1用のS157527、IBM i 7.1用のS157473およびIBM i 7.2用のS157468を出来うる限り早急に適用することをお勧めします。これは古いバージョンのOSを稼働させている組織はIBMがサポートしている新しいバージョンにアップグレードすることを促す警鐘でもあります。
IBMは、Common Vulnerabilities and Exposure (CVE)標準として以下のセキュリティーの脆弱性に対処するIBM iに向けたパッチを発表しました。CVE-2015-4000はLogjam Attackとして知られており、Diffie-Hellman(DH) 鍵交換プロトコルを使うTLS バージョン1.2およびそれ以前の接続における脆弱性です。発見したリサーチャーは、アタッカーは遠隔からサーバーとクライアント間の応答確認における問題を悪用する介入者攻撃を仕掛けて512ビットのエキスポート・グレードをゼロに強制的にダウングレードさせると説明しています。これによってアタッカーはセッション・キーを取得して機密情報を入手することができ、またトラフィックのコンテンツを変更することができます。
OpenSSLのプロトコルを監視しているOpenSSL Projectは、TLSのクライアントが768ビットより短いDHパラメータで応答確認するのを自動的に拒否する問題に取組んでいます。将来のリリースは制限が1024ビットに上げられるとグループは説明しています。
IBMは、IBM iのショップに暗号化キーが長ければCPUのコストが高くなることをアドバイスしています。「サーバーのキー・サイズの長さが増せば、TLS/SSLのハンドシェイクに要求されるCPUが著しく増加する」と説明しています。「CPU必要量のインパクトをテスト、査定してCPU資源が十分であることを確認して欲しい。そうでなければ、システムの可用性に影響を及ぼす可能性が有る」と述べています。
さらに強い危険性を帯びているのは暗号化メッセージの操作における脆弱性CVE-2014-8176で、アタッカーにサービス妨害攻撃(DoS)を許します。この脆弱性は古いバージョンのOpenSSL(バージョン0.9.8, 1.0.0及び1.0.1)に存在しており2014年に修正されています。新しいバージョンには存在していません。この脆弱性はCVSSスコア6.5です。
またIBMはCVE-2015-1788を修正しました。OpenSSLのパラメータ構造の処理における脆弱性です。この脆弱性はDoSに繋がる可能性があり、古いバージョンのOpenSSLに存在しています。CVSSスコア5です。
その他、CVE-2015-1789によるDoSの脅威が存在します。X509デジタル証明書を含む区域外の読み取りで発生する不具合です。アタッカーは特別に作成した証明書あるいはCRLを使ってこの脆弱性を突きセグメンテーションの不具合を引き起こします。CVSSスコア5です。
IBMはまたCVE-2015-1792に対処しました。OpenSSLがsignedDataメッセージを確認するときにおける脆弱性で、アタッカーが不明なハッシュ関数を導入してアプリケーションに無限のループを引き起こすのを可能にします。この脆弱性はCVSSスコア5です。
最後に、IBMは1ヶ月前に発見されたCVE-2015-1793における深刻な脅威に対処しました。この脆弱性はアタッカーが遠隔からセキュリティー制限を迂回することを可能にします。アタッカーは代替えチェーン証明書を偽造します。CVE-2015-1793はCVSSベーススコア7.5で、OpenSSLプロジェクトによって高いレートが与えられています。
IBMがIBM i 6.1~7.2用にOpenSSLの脆弱性を修正するPTFをリリースしたのは今回で今年2度目です。3月にOpenSSLとBINDの種々の問題を修正しています。
古いOpenSSLの不具合と同様に、OpenSSLの新しい数多の不具合はさまざまなソフトウエアとハードウエア製品への一連の修正を必要とすると思われます。IBMのブログProduct Security Incident Response (PSIRT) blogによれば、これらの問題に影響を受けやすいIBMの他の製品には、FlashSystem V840、Tivoli Monitoring and Workload Scheduler、Juniper Networks製品、Security Identity Manager Virtual Appliance、QRadar SIEM、Rational ClearQuest and RequisitePro、MobileFirst Platform Foundation and Worklight、PowerKVM、Power Hardware Management Console、InfoSphere BigInsight、PureData Ssytem for Operational Analytics、SDK for Node.js、MQ Lite and MessageSight、Security Network Intrusion Prevention System、Security Access Manager for Web、FileNet Content Managerが含まれています。