MENU

IBM i用のIBM HTTP Serverに複数の脆弱性 ~IBM i 7.2~7.5に影響。HTTPレスポンス分割攻撃やDoS攻撃を受ける恐れ

IBMは4月19日(米国時間)、IBM i用のIBM HTTP Server (powered by Apache) に複数の脆弱性がある、と発表した。影響を受けるIBM iのOSバージョンは以下のとおり。CVE番号は、CVE-2022-37436、CVE-2006-20001。

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

この問題には、IBM iにPTFを適用することで修正できる(末尾記載)。

脆弱性の概要:CVE-2022-37436

CVE-2022-37436の脆弱性は、Apache HTTP Serverのプロキシ/ゲートウェイ機能mod_proxyに対してバックエンド攻撃を仕掛けられると、HTTPレスポンス分割攻撃を受ける恐れがあるというもの。HTTPレスポンス分割攻撃とは、攻撃者が悪意のあるHTTPヘッダーをプロキシサーバーにキャッシュさせておき、そのキャッシュを他のユーザーが参照すると、悪意のあるHTTPファイルを読み込んで有害サイトへ誘導したり、Cookieが盗難される恐れのある攻撃をさす。
CVSSベーススコア:6.1(警告)

脆弱性の概要:CVE-2006-20001

CVE-2006-20001の脆弱性は、Apache HTTP ServerのWebDAV(分散オーサリング、バージョン管理)モジュールmod_davに対して、0(ゼロ)バイトの境界外読み取り、または書き込みが行われると、DoS攻撃を受ける恐れがあるというもの。
CVSS ベーススコア: 5.3(警告)

◎対処法

上記の修正を含むIBM iのPTF番号は、以下のとおり。

IBM i OS PTF番号 PTFのダウンロード先
IBM i 7.5 SI82700
SI82701
https://www.ibm.com/support/pages/ptf/SI82700
https://www.ibm.com/support/pages/ptf/SI82701
IBM i 7.4 SI82702
SI82703
https://www.ibm.com/support/pages/ptf/SI82702
https://www.ibm.com/support/pages/ptf/SI82703
IBM i 7.3 SI82704
SI82705
https://www.ibm.com/support/pages/ptf/SI82704
https://www.ibm.com/support/pages/ptf/SI82705
IBM i 7.2 SI82706
SI82707
https://www.ibm.com/support/pages/ptf/SI82706
https://www.ibm.com/support/pages/ptf/SI82707

 

◎ IBMの発表「Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to HTTP response splitting and denial of service attacks (CVE-2022-37436, CVE-2006-20001)」(英語)
https://www.ibm.com/support/pages/node/6984745

[i Magazine・IS magazine]

新着