
<html><body>

<p><tt><font size="2">IBM Endpoint Manager 9.1.1117 (9.1 patch 3) is an emergency patch release to </font></tt><br>

<tt><font size="2">close a recently announced vulnerability (CVE-2014-0224) in the OpenSSL library </font></tt><br>

<tt><font size="2">used by IEM. This patch contains a new release of the OpenSSL library that </font></tt><br>

<tt><font size="2">closes this vulnerability. IEM 9.1 customers should upgrade to this new patch </font></tt><br>

<tt><font size="2">release in order to close the vulnerability. All IEM components have been</font></tt><br>

<tt><font size="2">upgraded with OpenSSL-1.0.1h and are available for upgrade.</font></tt><br>

<br>

<tt><font size="2">IEM 9.1 (9.1.1065, 9.1.1082, and 9.1.1088) is the only version affected. </font></tt><br>

<tt><font size="2">Previous versions (8.1, 8.2, and 9.0) are not affected.</font></tt><br>

<br>

<tt><font size="2">This vulnerability can be exploited by a Man-in-the-middle (MITM) attack </font></tt><br>

<tt><font size="2">allowing an attacker to eavesdrop and make modifications between Root Server, </font></tt><br>

<tt><font size="2">Web Reports, Relay, and Proxy Agent communications. An eavesdropping attacker </font></tt><br>

<tt><font size="2">can obtain console login credentials. (Note that neither the site admin key nor </font></tt><br>

<tt><font size="2">the server signing private key are exposed by this vulnerability, so it is not</font></tt><br>

<tt><font size="2">necessary to rotate keys after upgrade.)</font></tt><br>

<br>

<tt><font size="2">For the official OpenSSL advisory, check: </font></tt><br>

<br>

<a href="https://www.openssl.org/news/secadv_20140605.txt"><tt><font size="2">https://www.openssl.org/news/secadv_20140605.txt</font></tt></a><br>

<br>

<tt><font size="2">This vulnerability is known as the ChangeCipherSpec (CCS) Injection </font></tt><br>

<tt><font size="2">Vulnerability. For more details about it, check:</font></tt><br>

<br>

<a href="http://ccsinjection.lepidum.co.jp/"><tt><font size="2">http://ccsinjection.lepidum.co.jp/</font></tt></a><br>

<br>

<tt><font size="2">The IBM Security Bulletin for this patch is located here:</font></tt><br>

<br>

<a href="http://www-01.ibm.com/support/docview.wss?uid=swg21677842"><tt><font size="2">http://www-01.ibm.com/support/docview.wss?uid=swg21677842</font></tt></a><br>

<br>

<tt><font size="2">* Detailed changelist: </font></tt><a href="http://support.bigfix.com/bes/changes/fullchangelist-91.txt"><tt><font size="2">http://support.bigfix.com/bes/changes/fullchangelist-91.txt</font></tt></a><br>

<tt><font size="2">* Known issues: </font></tt><a href="http://www-01.ibm.com/support/docview.wss?uid=swg21667537"><tt><font size="2">http://www-01.ibm.com/support/docview.wss?uid=swg21667537</font></tt></a><br>

<tt><font size="2">* Upgrade fixlets are available in BES Support version 1176</font></tt><br>

<tt><font size="2">* Manual upgrades are available at </font></tt><a href="http://support.bigfix.com/bes/install/downloadbes.html"><tt><font size="2">http://support.bigfix.com/bes/install/downloadbes.html</font></tt></a><br>

<br>

</body></html>