IBMは6月7日、IBM i Merlin(Modernization Engine for Lifecycle Integration)に複数の脆弱性がある、と発表した。脆弱性の中にはセキュリティバイパスされるものものあり(CVSSのベーススコアでは「緊急」(=9.1)、IBMでは脆弱性を修正したソフトウェアのインストールを強く推奨している。
影響を受ける製品は、IBM i Merlin 1.0~1.4.1
以下の脆弱性が指摘されている。
CVE-2023-20860
VMware Tanzu Spring Frameworkは、Spring Security構成でmvcRequestMatcherで接頭辞のないダブルワイルドカードパターンを使用していると、攻撃者はセキュリティ制限をバイパスできる可能性(セキュリティバイパス)がある。この脆弱性が悪用されると、攻撃者は認証メカニズムを迂回あるいは回避して特権を取得し、システムやアプリケーションなどへのアクセスが可能になる。セキュリティバイパスは、パスワードなどの資格情報なしに攻撃を行えるため、きわめて重大な脆弱性と認識されている。
CVSSベーススコア:9.1(緊急)
CVE-2023-20862
VMware Tanzu Spring Securityは、シリアライズされたバージョンを使用している場合、ログアウトサポート機能がセキュリティ・コンテキストを適切にクリーンアップしないことが原因で、攻撃者がセキュリティ制限をバイパスする可能性がある。
CVSSベーススコア:7.5(重要)
CVE-2023-20863
VMware Tanzu Spring Frameworkには、攻撃者が細工したSpEL式を送信すると、DoS(サービス拒否)攻撃を引き起こされる脆弱性がある。
CVSS ベーススコア:7.5(重要)
CVE-2023-20861
VMware Tanzu Spring Frameworkには、攻撃者が細工したSpEL式を送信すると、DoS(サービス拒否)攻撃を引き起こされる脆弱性がある。
CVSS ベーススコア: 5.3(警告)
CVE-2023-20859
VMware Tanzu Spring Vaultには、トークンの失効の失敗によりログソースに機密情報が挿入されると、攻撃者は機密情報を取得できる可能性がある。さらに、その情報を使用してさらなる攻撃を仕掛ける恐れがある。
CVSSベーススコア:4.4(警告)
CVE-2022-45688
JavaツールライブラリのHutoolには、スタックベースのバッファオーバーフローに起因するDoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、アプリケーションをクラッシュさせることが可能になる。
CVSS ベーススコア:7.5(重要)
CVE-2023-24998
Apache Commons FileUploadとTomcatは、ファイルアップロード機能で処理するリクエストパーツの数を制限していないことが原因で、DoS(サービス拒否)攻撃を受ける脆弱性をもつ。
CVSS ベーススコア:7.5(重要)
CVE-2022-41854
snakeYAMLは、不適切な入力検証によって引き起こされるDoS(サービス拒否)攻撃の脆弱性がある。
CVSS ベーススコア:6.5(警告)
CVE-2022-43928
IBM Toolbox for Java(Db2 Mirror for i 7.4、同7.5) は、処理にJava文字列を利用することにより、ユーザーが機密情報を取得する可能性がある。Java文字列は不変なため、ガベージコレクションされるまでメモリ上に存在する。そのため機密データがメモリ上で不特定多数に公開される可能性がある。
CVSS ベーススコア:4.9(警告)
対処法
対処法としてIBMは、IBM i Merlin 1.4.2のインストールを強く推奨している(下記URL)。
https://www.ibm.com/docs/en/merlin/1.0?topic=guide-upgrade-merlin-platform-tools
・Security Bulletin: IBM i Modernization Engine for Lifecycle Integration is vulnerable to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7001851
[i Magazine・IS magazine]
