|
 |
Access Manager for e-business(TAM) WebSEALでSSL使用時のdenial-of-service攻撃に対する脆弱性
|
|
|
不正な形式のSSL通信による攻撃を受けることで、Access Manager for e-business(TAM)の1コンポーネントであるWebSEALが停止させられる可能性があります。
今回ご紹介する修正プログラムの適用を強くお勧め致します。
この修正プログラムは当問題だけでなく、2004年5月12日に当サイトでお知らせしました
『Tivoli Policy Director 3.8, IBM Tivoli Access Manager for e-business
3.9, 4.1, 5.1のセッションCookieの脆弱性の問題』(http://www-6.ibm.com/jp/services/security/secinfo/si-040512a.html)の対策修正プログラムをも含んでおり、両問題は万が一攻撃を受けた場合のインパクトが大きいためです。今回の修正プログラムを適用されることで、当問題だけでなく、『Tivoli
Policy Director 3.8, IBM Tivoli Access Manager for e-business 3.9, 4.1,
5.1のセッションCookieの脆弱性の問題』への対応も完了致します。
【現象】
不正な形式のSSL通信による攻撃を受けることで、IBM Tivoli Access Manager
for e-business(TAM)のWebSEAL上でSSL通信を管理するGlobal Security Toolkit(GSKIT)が失敗し、WebSEALコンポーネントが停止する可能性があります。WebSEALコンポーネントが停止することにより、Webコンテンツ、Webアプリケーションのサービスが停止する可能性があります。クライアントからのアクセスがWebSEALを経由してWebサーバにアクセスしている場合、結果的にWebサーバーにアクセスできなくなります。つまり、ブラウザがWebSEALを介したWebコンテンツ、Webサーバー上で稼動するWebアプリケーションのサービスを利用できなくなる可能性があります。
|
【対象製品】
下記の製品のいずれかを使用し、GSKitのバージョンが該当する場合:
- Tivoli Policy Director V3.8 (WebSEAL) かつ使用しているGSKitが 4.0.3.345
よりも低い場合
- Tivoli Access Manager for e-business V3.9(WebSEAL) かつ使用しているGSKitが
5.0.5.92 よりも低い場合
- Tivoli Access Manager for e-business V4.1(WebSEAL) かつ使用しているGSKitが
5.0.5.92 よりも低い場合
- IBM Tivoli Access Manager for e-business V5.1(WebSEAL)かつ 使用しているGSKitが
7.0.1.16 よりも低い場合
|
【確認方法】
問題が該当するかどうか、TAMのWebSEALのバージョンと、GSKitのバージョンを以下の方法で確認ください。
以下に稼動OS別の確認方法を示します。
- AIXの場合
TAMについては、以下を実行しバージョンを確認します。
# lslpp -L | grep PDWeb
GSKitについては、以下を実行しバージョンを確認します。
# lslpp -L gskit.rte
# lslpp -L gskkm.rte
# lslpp -L gskta.rte
- Windowsの場合
レジストリエディタを起動([スタート]-[ファイル名を指定して実行]で「regedit」と入力)し、
TAMについては、以下のキーを見ます。("5.1.0.0"の部分はTAMのバージョンによって異なります。)
\HKEY_LOCAL_MACHINE\SOFTWARE\Tivoli\Access Manager WebSEAL\5.1.0.0
GSKitについては、以下のうち存在するキーについて、そのVersionというエントリの値を確認します。
\HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK4\CurrentVersion
\HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK5\CurrentVersion
\HKEY_LOCAL_MACHINE\SOFTWARE\IBM\GSK7\CurrentVersion
- Linuxの場合
TAMについては、以下を実行しバージョンを確認します。
# rpm -qa | grep PDWeb-PD
GSKitについては、以下を実行し、存在するものについてそのバージョンを確認します。
# rpm -qa|grep gsk4
# rpm -qa|grep gsk5
# rpm -qa|grep gsk7
- Solarisの場合
TAMについては、以下を実行しバージョンを確認します。
# showrev -p | grep PDWEB
GSKitについては、以下を実行し、存在するものについてそのバージョンを確認します。
# pkginfo -l gsk4bas
# pkginfo -l gsk5bas
# pkginfo -l gsk7bas
- HP-UXの場合
TAMについては、以下を実行しバージョンを確認します。
# swlist PDWEB
GSKitについては、以下を実行し、存在するものについてそのバージョンを確認します。
# swlist gsk4bas
# swlist gsk5bas
# swlist gsk7bas
|
【対応方法】
TAMのバージョンに応じて、次の方法で修正プログラムと適切なバージョンのGSKitを入手し、適用ください。一部の修正プログラムはWebサイトから入手可能となっておりますが、他の修正プログラムはパスポート・アドバンテージにお問い合わせの上入手ください。あわせて、最新の適用確認事項について、パスポートアドバンテージまでご確認ください。
【PD 3.8の場合】
【TAM 3.9の場合】
【TAM 4.1の場合】
|
| GSKit 5.0.5.92 |
| |
パスポート・アドバンテージまで直接お問い合わせください。 |
| 4.1-TAM-0011LA |
| |
パスポート・アドバンテージまで直接お問い合わせください。 |
| 4.1-AWS-0011LA |
| |
パスポート・アドバンテージまで直接お問い合わせください。 |
【TAM 5.1の場合】
|
【お問合せ先】
Tivoli製品に関するPAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様、
但し、Policy Director 3.8はサービスを終了しておりますが、当件のパッチ入手方法のお問い合わせに限りご利用いただけます。)
| 電話 |
:0120-557-972 |
| 受付時間 |
:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く) |
|
|
|
|
|
|
