IBM i 関連の脆弱性情報 | IBM i 総合情報サイト iWorld(アイワールド)
NEWS
IBM i トレンド IBM i トレンド
2022.09.14
SHARE
  • twitter
  • facebook
  • hatena

<9/14更新>IBM i 関連の脆弱性情報

<9/14更新>IBM i 関連の脆弱性情報
IBM i 関連の脆弱性情報

IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://www.i-cafe.info/column/product/apache_log4j_20211220

2022年9月14日

サマリー

IBM i 用の Samba では、SMB1 リクエストを処理するメモリリークにより、リモートの認証済み攻撃者が機密情報を取得することが可能です。ファイル共有にデータを書き込むために特別に細工されたリクエストを送信することで、攻撃者はこの脆弱性を悪用してメモリ情報を取得し、この情報を使って影響を受けるシステムに対してさらなる攻撃を仕掛けることが可能です。
IBM i は、修正を提供することによってこのSambaの脆弱性に対処しています。

対処法

この問題は、IBM i のリリース 7.4、および7.3 に PTF を適用することによって修正されます。

IBM i リリース 5770-SS1
PTF 番号
PTF ダウンロードLink
7.4 SI80816 SI80816
7.3 SI80815 SI80815

詳細/原文

Security Bulletin: Samba for IBM i is vulnerable to attacker obtaining sensitive information due to a memory leak with SMB1 requests (CVE-2022-32742)
https://www.ibm.com/support/pages/node/6613223?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年9月12日

サマリー

IBM WebSphere Application Server Liberty for IBM i は、認証済みユーザーによる ID スプーフィング (CVE-2022-22476) および Eclipse Paho Java クライアントによるセキュリティ制限のバイパス機能 (CVE-2019-11777) に対して脆弱性があります。IBM iは、IBM WebSphere Application Server Liberty for IBM iに修正を提供することでこれらの 障害報告(CVE)に対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i リリース 5770-SS1
PTF 番号
PTF
ダウンロード Link
7.5 SI80972 SI80972
7.4 SI80973 SI80973
7.3 SI80974 SI80974
7.2 SI80975 SI80975

詳細/原文

Security Bulletin: IBM WebSphere Application Server Liberty for IBM i is vulnerable to identity spoofing with authenticated user and ability to bypass security restrictions due to Eclipse Paho Java client (CVE-2019-11777, CVE-2022-22476)
https://www.ibm.com/support/pages/node/6619843?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年7月28日

サマリー

IBM HTTP Server (powered by Apache) for IBM i には、ヘッダ送信の失敗によるセキュリティ制限の回避 (CVE-2022-31813)、 ap_rwrite() 関数への大きな入力による意図しないメモリの読み込み (CVE-2022-28614) および ap_strcmp_match() への大きな入力によるバッファの読み込み制限超過 (CVE-2022-28615) による脆弱性が存在します。IBM i は、Apache HTTP Server の実装に修正を提供することによって、これらの 障害報告(CVE) に対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i リリース 5770-DG1
PTF 番号
PTF ダウンロード Link
7.5 SI80337 SI80337
7.4 SI80353 SI80353
7.3 SI80354 SI80354
7.2 SI80355 SI80355

詳細/原文

Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to bypass security restrictions and obtain sensitive information due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/6607876?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年7月27日

サマリー

OpenSSL では、c_rehash スクリプトによるユーザ提供の入力の不適切な検証により、リモートの攻撃者がシステム上で任意のコマンドを実行することが可能です。シェルメタ文字を用いて特別に細工したリクエストを送信することで、攻撃者はこの脆弱性を悪用し、システム上でスクリプトの権限で任意のコマンドを実行することができます。IBM i は、改善/修正セクションに記載されているように、OpenSSL の脆弱性に修正プログラムを提供することで対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i Release 5733-SC1
PTF Number
PTF Download Link
7.5 SI80588 SI80588
7.4, 7.3, 7.2 SI80587 SI80587
https://www.ibm.com/support/fixcentral

詳細/原文

Security Bulletin: OpenSSL for IBM i is vulnerable to arbitrary command execution (CVE-2022-2068)
https://www.ibm.com/support/pages/node/6607559?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年7月13日

サマリー

IBM i 上の ISC BIND には、特別に作成された TCP パケットの送信によるサービス拒否攻撃、および DNS フォワーダーを使用した DNS キャッシュポイズニング攻撃の脆弱性が存在します。IBM i は、ISC BIND の脆弱性に修正プログラムを提供することで対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i Release 5770-SS1
PTF Number
PTF Download Link
7.5 SI80440 SI80440
SI80443 SI80443
SI80458 SI80458
7.4 SI80430 SI80430
SI80431 SI80431
SI80455 SI80455
7.3 SI80437 SI80437
SI80438 SI80438
SI80456 SI80456
7.2 SI80439 SI80439
SI80457 SI80457

詳細/原文

Security Bulletin: IBM i is vulnerable to denial of service and cache poisoning attacks due to flaws in ISC BIND (CVE-2022-0396, CVE-2021-25220)
https://www.ibm.com/support/pages/node/6595155?myns=swgother&mynp=OCSWG60&mync=E&cm_sp=swgother-_-OCSWG60-_-E

2022年7月12日

サマリー

Digital Certificate Manager for IBM iには、クロスサイトスクリプティングの脆弱性があります。この脆弱性により、ユーザーが任意の JavaScript コードを Web UI に埋め込むことが可能となり、意図した機能が変更され、信頼できるセッション内で認証情報の漏洩につながる可能性があります。IBM i は、Digital Certificate Manage Web アプリケーションへの修正によって該当する障害に対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i Release 5770-SS1
PTF Number
PTF Download Link
7.5 SI80415 SI80415
7.4 SI80414 SI80414
7.3 SI80413 SI80413
7.2 SI80412 SI80412

詳細/原文

Security Bulletin: Digital Certificate Manager for IBM i is vulnerable to cross-site scripting (CVE-2022-34358)
https://www.ibm.com/support/pages/node/6603131?myns=swgother&mynp=OCSWG60&mync=E&cm_sp=swgother-_-OCSWG60-_-E

2022年6月28日

サマリー

IBM i 用の Zlib には、メモリ破壊によるサービス拒否攻撃の脆弱性があります。IBM i は、Zlib の脆弱性に修正プログラムを提供することで対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i リリース 5733-SC1
PTF番号
PTF ダウンロード Link
7.5 SI80205 SI80205
7.4, 7.3, 7.2 SI80203 SI80203

https://www.ibm.com/support/fixcentral

詳細/原文

Security Bulletin: Zlib for IBM i is vulnerable to a denial of service attack due to memory corruption (CVE-2018-25032)
https://www.ibm.com/support/pages/node/6599327?myns=swgother&mynp=OCSWG60&mync=E&cm_sp=swgother-_-OCSWG60-_-E

2022年6月28日

サマリー

OpenSSL には、c_rehash スクリプトにおける不適切なユーザー検証により、コマンドインジェクションの脆弱性があります。IBM i は、OpenSSL の脆弱性に修正プログラムを提供することで対処しています。

対処法

この問題は、IBM i のリリース 7.5、7.4、7.3、および 7.2 に PTF を適用することによって修正されます。

IBM i リリース 5733-SC1
PTF 番号
PTF ダウンロードLink
7.5 SI80205 SI80205
7.4, 7.3, 7.2 SI80203 SI80203

https://www.ibm.com/support/fixcentral

詳細/原文

Security Bulletin: Zlib for IBM i is vulnerable to a denial of service attack due to memory corruption (CVE-2018-25032)
https://www.ibm.com/support/pages/node/6599327?myns=swgother&mynp=OCSWG60&mync=E&cm_sp=swgother-_-OCSWG60-_-E

2022年6月10日

サマリー

Spring Framework には、下記URL原文内脆弱性の詳細に記載されているように、複数の脆弱性 (CVE-2022-22968, CVE-2022-22965, CVE-2022-22950) が存在します。Spring Framework v5.3.8は、Db2 Web Query for iのインフラサポートに使用されています。IBMは、Spring Framework v5.3.19にアップグレードすることで、Db2 Web Query for iの脆弱性に対処しています。

影響を受ける製品バージョン

影響を受ける製品 バージョン
IBM Db2 Web Query for i 2.3.0
IBM Db2 Web Query for i 2.2.1

対処法

IBMは、今すぐこの脆弱性に対処することを強く推奨します。
Db2 Web Query for i リリース 2.2.1 および 2.3.0 が影響を受けます。リリース 2.2.1 は、リリース 2.3.0 にアップグレードすることで修正することができます。

アップグレードインストールの手順を含むEZ-Installパッケージをご希望の方は、QU2@us.ibm.com” まで電子メールをお送りください。 アップグレードの詳細については、こちらをご参照ください。
https://ibm.biz/db2wq-install

リリース 2.3.0 は、最新の Db2 Web Query for i グループ Program Temporary Fix (PTF) を適用することにより、修正することができます。
PTFは、製品ID 5733WQXに適用されます。 グループPTF番号と修正プログラムを適用した最小レベルは次のとおりです。

影響を受けるリリース グループPTF とミニマム・レベル
Db2 Web Query for i 2.3.0 w/ IBM i 7.5 SF99671 level 6
Db2 Web Query for i 2.3.0 w/ IBM i 7.4 SF99654 level 6
Db2 Web Query for i 2.3.0 w/ IBM i 7.3 SF99533 level 6

詳細/原文

Security Bulletin: Due to use of Spring Framework, IBM Db2 Web Query for i is vulnerable to unprotected fields (CVE-2022-22968), remote code execution (CVE-2022-22965), and denial of service (CVE-2022-22950).
https://www.ibm.com/support/pages/node/6593861?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年6月2日

サマリー

IBM i で使用されている IBM® SDK Java™ Technology Edition および IBM® Runtime Environment Java™ には、下記URLの原文(脆弱性の詳細セクション)に記載されているように、不正な攻撃者が機密情報を取得するなどの脆弱性が存在します。この脆弱性は、「対処/修正」の項に記載されているように、グループPTFを適用することで修正されます。

対処法

これらの脆弱性は、最新の Java Group PTF を IBM i オペレーティングシステムに適用することで修正することができます。

IBM i 用の最新の Java 情報については、この URL の Java ドキュメントを参照してください。
https://www.ibm.com/support/pages/java-ibm-i

IBM i のリリース 7.5、7.4、7.3、および 7.2 が修正される予定です。
この脆弱性の修正を含む IBM i グループの PTF 番号は以下のとおりです。 今後のJava用グループPTFにも、これらの脆弱性の修正が含まれる予定です。

IBM i Release 5770-JV1 Group
PTF Number and Level
PTF Download Link
7.5 SF99955 Level 1 https://www.ibm.com/support/pages/sf99955-750-java-level-1
7.4 SF99665 Level 14 https://www.ibm.com/support/pages/sf99665-740-java-level-14
7.3 SF99725 Level 25 https://www.ibm.com/support/pages/sf99725-730-java-level-25
7.2 SF99716 Level 35 https://www.ibm.com/support/pages/sf99716-720-java-level-35

詳細/原文

Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to unauthenticated attacker obtaining sensitive information and other attacks due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/6591519?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年5月24日

サマリー

IBM Navigator for i は、堅牢なグラフィカルユーザーインターフェースを介して、サーバー管理機能を提供します。IBM Navigator for i に、SQL インジェクションの脆弱性が認められました。リモートの攻撃者が特別に細工した SQL 文を送信すると、攻撃者はバックエンドのデータベース内の情報を表示、追加、変更、削除できる可能性があります。この脆弱性は、最新のHTTP Server for i グループPTFを適用することで修正されます。

対処法

IBM i 7.4, 7.3, 7.2 について、PTF 適用することで修正されます。
この修正を含む IBM i PTF は、HTTP Server for i グループ PTF に含まれています。 HTTP Server for i の将来のグループ PTF にも、この問題の修正が含まれる予定です。

IBM i
リリース
HTTP Server
for i グループ
PTF – Level
PTF ダウンロード LINK
7.5 SF99952 – 01 SF99952 750 IBM HTTP Server for i – level 1
7.4 SF99662 – 20 SF99662 740 IBM HTTP Server for i – level 20
7.3 SF99722 – 39 SF99722 730 IBM HTTP Server for i – level 39

詳細/原文

Security Bulletin: IBM Navigator for i is vulnerable to an SQL injection (CVE-2022-22495)
https://www.ibm.com/support/pages/node/6589203?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

2022年5月9日

サマリー

IBM Navigator for i (Heritageバージョン) は、リモートの攻撃者が有効な認証情報なしでウェブインターフェースへのアクセスを取得できるようにする可能性があります。サインオン要求を変更することで、攻撃者はターゲットシステムの完全修飾ドメイン名と Navigator タスクページへの可視性を得ることができますが、システム上でこれらのタスクを実行する能力や特定のシステムデータを見る能力を得ることはできません。

対処法

IBM i 7.4, 7.3, 7.2 について、PTF 適用することで修正されます。

IBM i リリース 5770-SS1
PTF番号
PTF ダウンロードLINK
7.4 SI79557 https://www.ibm.com/support/pages/ptf/SI79557
SI79558 https://www.ibm.com/support/pages/ptf/SI79558
7.3 SI79559 https://www.ibm.com/support/pages/ptf/SI79559
SI79560 https://www.ibm.com/support/pages/ptf/SI79560
7.2 SI79561 https://www.ibm.com/support/pages/ptf/SI79561
SI79562 https://www.ibm.com/support/pages/ptf/SI79562

詳細/原文

Security Bulletin: IBM i components are vulnerable to data access due to CVE-2022-22481
https://www.ibm.com/support/pages/node/6583553?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

なお、SODで将来 IBM i 7.4, 7.3からのNavigator for i のHeritageバージョンの削除が予告されています。

Statement of direction – IBM intends in the future to remove IBM Navigator for i heritage version by deleting all associated files from the system for IBM i 7.3 & 7.4 releases.

2022年3月31日

サマリー

IBM WebSphere Application Server の複数の脆弱性により、任意のコードの実行、LDAP インジェクション、不正アクセス、クリックハイジャックなどの可能性があります。IBM WebSphere Application Server Liberty for IBM i は、Liberty ランタイムをバージョン 22.0.0.3 にアップグレードする修正により、これらの脆弱性に対処しています。

対処法

IBM i 7.4, 7.3, 7.2 について、PTF 適用することで修正されます。
IBM i 7.4. SI78971
IBM i 7.3. SI78972
IBM i 7.2. SI78973

詳細/原文

Security Bulletin: IBM WebSphere Application Server Liberty for IBM i is affected by arbitrary code execution and other attacks due to multiple vulnerabilities. https://www.ibm.com/support/pages/node/6568369?myns=ibmi&mynp=OCSWG60&mync=E&cm_sp=ibmi-_-OCSWG60-_-E

いいねと思ったらシェア
twitter
facebook
hatena
あなたにオススメの連載
できるIBM i 7.4解剖
14記事
できるIBM i 7.4解剖
IBM i の”新”必須言語 〜FFRPG入門〜
14記事
IBM i の”新”必須言語 〜FFRPG入門〜
Windows10待ったなし!どうする5250徹底検証
4記事
Windows10待ったなし!どうする5250徹底検証
PAGE TOP