MENU

IBM i用Javaのセキュリティ機能と暗号機能に欠陥 ~機密情報漏洩の恐れ、とIBM。Java Group PTFの適用を推奨

IBMは5月23日、IBM Java SDKおよびIBM Java Runtime for IBM iのセキュリティ機能と暗号機能に脆弱性があり、機密情報の漏洩につながる恐れがある、と発表した。

影響を受けるIBM i OSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

以下の脆弱性が指摘されている。

CVE-2023-30441

IBM iで使用されるIBM SDK,Java Technology EditionおよびIBM Javaランタイム環境(JRE)に、デフォルトのセキュリティ・プロバイダーとして搭載されている「IBMJCEPlus」と暗号スイート「JSSE」に欠陥があり、その欠陥を突く設定がなされると、機密情報の漏洩につながる可能性がある。

CVSSベーススコアは、7.5(重要)。

対処法

以下のJava Group PTFの適用により修正できる。

IBM i OSバージョン  PTF番号  ダウンロード・リンク
7.5

SF99955 Level 3

https://www.ibm.com/support/pages/uid/nas4SF99955

7.4

SF99665 Level 16

https://www.ibm.com/support/pages/uid/nas4SF99665

7.3

SF99725 Level 27

https://www.ibm.com/support/pages/uid/nas4SF99725
7.2

SF99716 Level 37

https://www.ibm.com/support/pages/uid/nas4SF99716

・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to exposing sensitive information due to flaws and configurations (CVE-2023-30441).(英語)
https://www.ibm.com/support/pages/node/6997499

◎IBM i・Power関連の脆弱性情報(2023年1月~現在)

・Power9・Power10のPowerVMに最高レベルの脆弱性 ~特権昇格の恐れ、IBMは修正版ファームウェアのインストールを強く推奨

・OpenSSL for IBM iに複数の脆弱性、DoS攻撃や機密情報漏洩の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響

・WAS Liberty for IBM iに複数の脆弱性、機密情報の漏洩や特権昇格の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響

・IBM i用のIBM HTTP Serverに複数の脆弱性 ~IBM i 7.2~7.5に影響。HTTPレスポンス分割攻撃やDoS攻撃を受ける恐れ

・複数のIBM i製品で「Log4j バージョン1.x」の脆弱性が発覚 ~Navigator for iやACS、IWS、IASなど。IBMが対処を推奨

・IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」

・Power10各モデルに脆弱性、Linuxカーネル内の関数を操作すると機密情報を取得できる ~CVE-2022-3435、ベーススコアは4.3(警告)

・IBM iのWAS Libertyに、HTTPヘッダーインジェクションの脆弱性、IBM i 7.2~7.5に影響 ~さまざまなDoSを受ける恐れ、スコアは最高7.5(重要)

・IBM Navigator for iに複数の脆弱性 ~IBM i 7.3~7.5版、無許可ファイルへのアクセス、SQLインジェクションの実行などが可能に

[i Magazine・IS magazine]