製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM WebSphere DataPower SOA アプライアンスにおける PreMasterSecret 値を取得される脆弱性

Title	IBM WebSphere DataPower SOA アプライアンスにおける PreMasterSecret 値を取得される脆弱性
Summary	IBM WebSphere DataPower SOA アプライアンスには、PreMasterSecret 値を取得され、暗号保護メカニズムを破られる脆弱性が存在します。
Possible impacts	第三者により、SSL/TLS サイドチャネルタイミング攻撃において大量のリクエストを送信されることで、PreMasterSecret 値を取得され、暗号保護メカニズムを破られる脆弱性が存在します。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 29, 2014, midnight
Registration Date	Aug. 19, 2014, 1:53 p.m.
Last Update	Aug. 19, 2014, 1:53 p.m.

Affected System

IBM

IBM WebSphere DataPower SOA アプライアンス 9004 MTM - 9235-xxx

IBM WebSphere DataPower SOA アプライアンス 9005 MTM - 7198 (1U) および 7199 (2U)

IBM WebSphere DataPower SOA アプライアンス HS22 - Integration Blade XI50B Type 4195

IBM WebSphere DataPower SOA アプライアンスファームウェア 4.0.2.15 まで

IBM WebSphere DataPower SOA アプライアンスファームウェア 5.0.0.17 までの 5.x

IBM WebSphere DataPower SOA アプライアンスファームウェア 6.0.0.9 までの 6.0.0.x

IBM WebSphere DataPower SOA アプライアンスファームウェア 6.0.1.5 までの 6.0.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0852	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0852
National Vulnerability Database (NVD)
2	CVE-2014-0852	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0852

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
IBM APAR
1	IT01111	http://www-01.ibm.com/support/docview.wss?uid=swg1IT01111
IBM Support Document
2	1678204	http://www-01.ibm.com/support/docview.wss?uid=swg21678204

Change Log

No	Changed Details	Date of change
0	[2014年08月19日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-0852

Summary	IBM WebSphere DataPower SOA appliances through 4.0.2.15, 5.x through 5.0.0.17, 6.0.0.x through 6.0.0.9, and 6.0.1.x through 6.0.1.5 make it easier for remote attackers to obtain a PreMasterSecret value and defeat cryptographic protection mechanisms by sending a large number of requests in an SSL/TLS side-channel timing attack.
Publication Date	Aug. 16, 2014, 1:39 p.m.
Registration Date	Jan. 26, 2021, 3:05 p.m.
Last Update	Nov. 21, 2024, 11:02 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:ibm:websphere_datapower_soa_appliance_firmware::::::::		4.0.2.15
cpe:2.3:o:ibm:websphere_datapower_soa_appliance_firmware:5.0.0:::::::*
cpe:2.3:o:ibm:websphere_datapower_soa_appliance_firmware:6.0.0:::::::*
cpe:2.3:o:ibm:websphere_datapower_soa_appliance_firmware:6.0.1:::::::*
cpe:2.3:h:ibm:websphere_datapower_soa_appliance:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/60112
2	http://secunia.com/advisories/60112
3	http://www-01.ibm.com/support/docview.wss?uid=swg1IT01111	Patch Vendor Advisory
4	http://www-01.ibm.com/support/docview.wss?uid=swg1IT01111	Patch Vendor Advisory
5	http://www-01.ibm.com/support/docview.wss?uid=swg21678204	Patch Vendor Advisory
6	http://www-01.ibm.com/support/docview.wss?uid=swg21678204	Patch Vendor Advisory
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/90753
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/90753

Common Vulnerabilities List