MENU

IBM i Merlinに複数の脆弱性、セキュリティバイパスの恐れも ~CVSS最高スコアは9.1(緊急)

IBMは6月7日、IBM i Merlin(Modernization Engine for Lifecycle Integration)に複数の脆弱性がある、と発表した。脆弱性の中にはセキュリティバイパスされるものものあり(CVSSのベーススコアでは「緊急」(=9.1)、IBMでは脆弱性を修正したソフトウェアのインストールを強く推奨している。

影響を受ける製品は、IBM i Merlin 1.0~1.4.1

以下の脆弱性が指摘されている。

CVE-2023-20860

VMware Tanzu Spring Frameworkは、Spring Security構成でmvcRequestMatcherで接頭辞のないダブルワイルドカードパターンを使用していると、攻撃者はセキュリティ制限をバイパスできる可能性(セキュリティバイパス)がある。この脆弱性が悪用されると、攻撃者は認証メカニズムを迂回あるいは回避して特権を取得し、システムやアプリケーションなどへのアクセスが可能になる。セキュリティバイパスは、パスワードなどの資格情報なしに攻撃を行えるため、きわめて重大な脆弱性と認識されている。

CVSSベーススコア:9.1(緊急)

CVE-2023-20862

VMware Tanzu Spring Securityは、シリアライズされたバージョンを使用している場合、ログアウトサポート機能がセキュリティ・コンテキストを適切にクリーンアップしないことが原因で、攻撃者がセキュリティ制限をバイパスする可能性がある。

CVSSベーススコア:7.5(重要)

CVE-2023-20863

VMware Tanzu Spring Frameworkには、攻撃者が細工したSpEL式を送信すると、DoS(サービス拒否)攻撃を引き起こされる脆弱性がある。

CVSS ベーススコア:7.5(重要)

CVE-2023-20861

VMware Tanzu Spring Frameworkには、攻撃者が細工したSpEL式を送信すると、DoS(サービス拒否)攻撃を引き起こされる脆弱性がある。

CVSS ベーススコア: 5.3(警告)

CVE-2023-20859

VMware Tanzu Spring Vaultには、トークンの失効の失敗によりログソースに機密情報が挿入されると、攻撃者は機密情報を取得できる可能性がある。さらに、その情報を使用してさらなる攻撃を仕掛ける恐れがある。

CVSSベーススコア:4.4(警告)

CVE-2022-45688

JavaツールライブラリのHutoolには、スタックベースのバッファオーバーフローに起因するDoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、アプリケーションをクラッシュさせることが可能になる。

CVSS ベーススコア:7.5(重要)

CVE-2023-24998

Apache Commons FileUploadとTomcatは、ファイルアップロード機能で処理するリクエストパーツの数を制限していないことが原因で、DoS(サービス拒否)攻撃を受ける脆弱性をもつ。

CVSS ベーススコア:7.5(重要)

CVE-2022-41854

snakeYAMLは、不適切な入力検証によって引き起こされるDoS(サービス拒否)攻撃の脆弱性がある。

CVSS ベーススコア:6.5(警告)

CVE-2022-43928

IBM Toolbox for Java(Db2 Mirror for i 7.4、同7.5) は、処理にJava文字列を利用することにより、ユーザーが機密情報を取得する可能性がある。Java文字列は不変なため、ガベージコレクションされるまでメモリ上に存在する。そのため機密データがメモリ上で不特定多数に公開される可能性がある。

CVSS ベーススコア:4.9(警告)

対処法

対処法としてIBMは、IBM i Merlin 1.4.2のインストールを強く推奨している(下記URL)。
https://www.ibm.com/docs/en/merlin/1.0?topic=guide-upgrade-merlin-platform-tools

 

・Security Bulletin: IBM i Modernization Engine for Lifecycle Integration is vulnerable to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7001851

[i Magazine・IS magazine]