IBMは10月8日、TLSプロトコルでハンドシェイクを行う際にMD5ハッシュ関数を使用すると、衝突攻撃によってセキュリティが弱くなる可能性がある、と発表した。
攻撃者はこの脆弱性を悪用し、TLSサーバーになりすまして認証情報を取得する恐れがあるという。
影響を受ける製品およびバージョンは、
IBM i 7.2
IBM i 7.1
IBM i 6.1
なお上記のOSバージョンに対するIBMによるサポートは終了済み。IBMでは、最新OSバージョンへのアップグレードを推奨している。
CVE-2015-7575
CVSSベース・スコア:7.1(重要)
対処法
以下を適用することにより対処できる。
| IBM i OS バージョン | 対応プログラム |
| IBM i 6.1 | MF60292 |
| IBM i 7.1 |
SI59229 |
| IBM i 7.2 | SI59230 MF61243 MF60290 |
また「回避策と緩和策」が追記されている(下記を参照)。
・Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM i (CVE-2015-7575).
https://www.ibm.com/support/pages/node/666731
[i Magazine・IS magazine]
