Demey Consulting

IBM MQSeries, IBM Integration Bus & WebSphere Application Server

« Bar Mitzvah » : Faille SSL sur IBM MQ

par · Publié · Mis à jour

Encore une nouvelle vulnérabilité dans SSL, qui cette fois affecte MQ.
L’algorithme RC4 peut sous certaines conditions céder à une attaque de type « force brute ».

Les produits impactées sont MQ version 6.0 à 8.0, ainsi que l’IBM MQ Appliance M2000.

Les CipherSpecs affectés sont ceux qui utilisent RC4 :

  • RC4_SHA_US
  • TLS_RSA_WITH_RC4_128_SHA
  • RC4_MD5_US
  • TLS_RSA_WITH_RC4_128_MD5
  • RC4_56_SHA_EXPORT1024
  • RC4_MD5_EXPORT
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • ECDHE_ECDSA_RC4_128_SHA256
  • ECDHE_RSA_RC4_128_SHA256
  • TLS_RSA_WITH_RC4_128_SHA256

La solution est soit de changer tous les canaux utilisant un des CipherSpecs ci-dessus, soit d’activer FIPS (qui interdira entre autres ces CipherSpecs).
Ce changement doit bien entendu être coordonné avec le partenaire MQ (Queue Manager ou MQ Client).

Le « bon choix » aujourd’hui pour un CipherSpecs reste TLS_RSA_WITH_AES_128_CBC_SHA
(cf http://demey-consulting.fr/IBM-MQ-SSL-Vulnerabilites-SSL-2014)
car utilisable sur toutes les plates-formes et toutes les versions MQ de 6.0 à 8.0.

Étiquettes :