“Bar Mitzvah” : Faille SSL sur IBM MQ

Encore une nouvelle vulnérabilité dans SSL, qui cette fois affecte MQ.
L’algorithme RC4 peut sous certaines conditions céder à une attaque de type “force brute”.

Les produits impactées sont MQ version 6.0 à 8.0, ainsi que l’IBM MQ Appliance M2000.

Les CipherSpecs affectés sont ceux qui utilisent RC4 :

  • RC4_SHA_US
  • TLS_RSA_WITH_RC4_128_SHA
  • RC4_MD5_US
  • TLS_RSA_WITH_RC4_128_MD5
  • RC4_56_SHA_EXPORT1024
  • RC4_MD5_EXPORT
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • ECDHE_ECDSA_RC4_128_SHA256
  • ECDHE_RSA_RC4_128_SHA256
  • TLS_RSA_WITH_RC4_128_SHA256

La solution est soit de changer tous les canaux utilisant un des CipherSpecs ci-dessus, soit d’activer FIPS (qui interdira entre autres ces CipherSpecs).
Ce changement doit bien entendu être coordonné avec le partenaire MQ (Queue Manager ou MQ Client).

Le “bon choix” aujourd’hui pour un CipherSpecs reste TLS_RSA_WITH_AES_128_CBC_SHA
(cf http://demey-consulting.fr/IBM-MQ-SSL-Vulnerabilites-SSL-2014)
car utilisable sur toutes les plates-formes et toutes les versions MQ de 6.0 à 8.0.