IBMは7月17日、IBM Portable Utilities for iに含まれるOpenSSLに多数の脆弱性があり、 アプリケーションの異常終了やDoS(サービス拒否)攻撃を受ける恐れがある、と発表した。
下記の12種類の脆弱性が挙げられている。
・CVE-2024-9143
・CVE-2023-5678
・CVE-2024-5535
・CVE-2024-0727
・CVE-2023-6129
・CVE-2023-6237
・CVE-2024-2511
・CVE-2024-6119
・CVE-2024-4603
・CVE-2023-5363
・CVE-2024-13176
・CVE-2024-4741
影響を受けるOSバージョンは、
IBM i 7.6
IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2
CVSS基本スコアが最も高い(7.5、深刻度レベル:高)CVE-2024-6119では、次の脆弱性が指摘されている。
CVE-2024-6119
証明書の名前チェックを行うアプリケーションにおいて(たとえば、TLSクライアントによるサーバー証明書の検証)、無効なメモリアドレスへの読み取りが行われ、アプリケーションが異常終了する可能性がある。そして、アプリケーションが異常終了することで、DoS(サービス拒否)攻撃を招く恐れがある。
CVSS基本スコア:7.5(深刻度レベル:高)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OSバージョン | 5770-SC1 PTF 番号 |
ダウンロード先 |
|
7.6 |
SJ06342 SJ06401 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06342 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06401 |
|
7.5 |
SJ06341 SJ06400 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06341 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06400 |
|
7.4 |
SJ06283 SJ06399 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06283 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ06399 |
・Security Bulletin: IBM i is affected by errors in OpenSSL as part of IBM Portable Utilities for i due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7239954
[i Magazine・IS magazine]
