MENU

IBM i用のIBM HTTP Server(powered by Apache)に複数の脆弱性 ~IBM i 7.2~7.5に影響。悪意あるファイルの無限アップロードや機密情報を取得される恐れ

IBMは2月16日、IBM i用のIBM HTTP Server (powered by Apache) に複数の脆弱性がある、と発表した。攻撃者が任意のファイルをアップロードしたり、機密情報を取得される恐れがある。

影響を受けるOSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

以下の脆弱性が指摘されている。

CVE-2023-45802

IBM i用のIBM HTTP Server (powered by Apache)が備えるストリーミングアプリケーション用開発フレームワークであるApache StreamParkに、攻撃者が危険なファイルのを無制限にアップロードできる脆弱性がある。

CVSSスコア:7.5(重要)

CVE-2023-31122

Apache HTTP Serverには、mod_macroモジュールの境界外読み込みの欠陥により、 攻撃者が機密情報を取得する可能性がある。また攻撃者はこの欠陥を利用することにより、さらなる攻撃を仕掛けることができる。

CVSSスコア:7.5(重要)

対処法

以下のPTFを適用することにより修正できる。

IBM i OSバージョン 35770-DG1 PTF番号 PTF ダウンロード・リンク
IBM i 7.5

SI85712

SI85830

https://www.ibm.com/support/pages/ptf/SI85712

https://www.ibm.com/support/pages/ptf/SI85830

IBM i 7.4

SI85713

SI85828

https://www.ibm.com/support/pages/ptf/SI85713

https://www.ibm.com/support/pages/ptf/SI85828

IBM i 7.3

SI85714

I85827

https://www.ibm.com/support/pages/ptf/SI85714

https://www.ibm.com/support/pages/ptf/SI85827

IBM i 7.2 SI85833 https://www.ibm.com/support/pages/ptf/SI85833

・Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to an attacker uploading arbitrary files and obtaining sensitive information (CVE-2023-45802, CVE-2023-31122)
https://www.ibm.com/support/pages/node/7118649

[i Magazine・IS magazine]