IBMは2月1日(米国時間)、IBM iのOS機能の1つである「IBM WebSphere Application Server Liberty for IBM i」にHTTPヘッダーインジェクションの脆弱性があり、さまざまなDoS(サービス拒否)攻撃を受ける恐れがある、と発表した。
影響を受けるのは、IBM i 7.2~7.5の各OSバージョン。
IBMでは修正パッチ(PTF)を適用することで対処可能とし、ダウンロードページを案内している。
以下の脆弱性を挙げている。
CVEID:CVE-2022-34165
CVEのスコア:5.4(警告)
IBM WebSphere Application Server 7.0、8.0、8.5、9.0およびIBM WebSphere Application Server Liberty 17.0.0.3~22.0.0.9には、HTTPヘッダーインジェクションの脆弱性が存在する。攻撃者は、脆弱なシステムに対して、キャッシュ・ポイズニングやクロスサイト・スクリプティングなどの攻撃を行うことができる。
CVEID:CVE-2022-3509
CVEのスコア:5.7(警告)
protobuf-java coreおよびliteには、textformatデータの解析手順の欠陥によるサービス拒否の脆弱性がある。リモートの認証済み攻撃者はこの脆弱性を悪用し、長いガベージコレクションの休止を引き起こすことができる。
CVEID:CVE-2022-3171
CVEのスコア:5.7(警告)
protobuf-java coreおよびlite には、バイナリおよびテキスト形式データの解析手順の不備によるサービス拒否の脆弱性がある。リモートの認証済み攻撃者はこの脆弱性を悪用し、長いガベージコレクションの休止を引き起こすことができる。
CVEID:CVE-2022-37734
CVEのスコア:7.5(重要)
GraphQL Javaには、制御不能なリソース消費の欠陥によるサービス拒否の脆弱性がある。Directive overloadingを使用して細工したリクエストを送信することで、リモートの攻撃者はこの脆弱性を悪用してサービス拒否の状態を引き起こせる。
CVEID:CVE-2022-24839
CVEのスコア:7.5(重要)
Sparkle Motion Nokogiriには、org.cyberneko.htmlのフォークで不正なHTMLマークアップを解析する際に java.lang.OutOfMemoryError例外が発生し、サービス拒否の状態になる脆弱性が存在する。リモートの攻撃者はこの脆弱性を悪用してサービス拒否状態を引き起こせる。
PTFは以下のとおり。
IBM i Release 5770-SS1
・7.5 → PTF番号:SI81733 ダウンロード
・7.4 → PTF番号:SI81734 ダウンロード
・7.3 → PTF番号:SI81735 ダウンロード
・7.2 → PTF番号:SI81736 ダウンロード
IBM Navigator for i脆弱性ページ
https://www.ibm.com/support/pages/node/6850801
IBM Fix Central
https://www.ibm.com/support/fixcentral
[i Magazine・IS magazine]
