IBMは3月27日、IBM Java SDKおよびIBM Java Runtime for IBM iに、高い機密性に影響を与える脆弱性と、タイミングベースのサイドチャネル攻撃をもたらす脆弱性がある、と発表した。
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2024-20952
Java SE のセキュリティ・コンポーネントに関連した特定されていない脆弱性により、リモートの攻撃者が高い機密性や高い完全性(Integrity)に影響を与える恐れがある。
CVSS 基本スコア:7.4(重要)
CVE-2024-20918
VM コンポーネントに関連した Java SE の特定されていない脆弱性により、リモートの攻撃者が高い機密性と高い完全性に影響を与える恐れがある。
CVSS 基本スコア:7.4(重要)
CVE-2024-20921
VM コンポーネントに関連した Java SE の特定されていない脆弱性により、 リモートの攻撃者が高い機密性に影響を与える恐れがある。
CVSS 基本スコア:5.9(警告)
CVE-2024-20926
スクリプティング・コンポーネントに関連した Java SE の特定されていない脆弱性により、 遠隔の攻撃者が高い機密性に影響を与える恐れがある。
CVSS 基本スコア:5.9(警告)
CVE-2024-20945
BM GSKit-Crypto は、RSA 復号化実装のタイミングベースのサイドチャネルにより、リモートの攻撃者に機密情報を取得される恐れがある。。復号化のために過度に多くの試行メッセージを送信することで、攻撃者はこの脆弱性を悪用して機密情報を取得できる。
CVSS 基本スコア:7.4(重要)
CVE-2023-33850
Java SE のセキュリティ・コンポーネントに関連した特定されていない脆弱性により、リモートの攻撃者が機密性や完全性(Integrity)に影響を与える恐れがある。
CVSS 基本スコア:7.5(重要)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | PTF 番号 | PTF ダウンロード・リンク |
| 7.5 | SF99955 Level 9 | https://www.ibm.com/support/pages/uid/nas4SF99955 |
| 7.4 | SF99665 Level 22 | https://www.ibm.com/support/pages/uid/nas4SF99665 |
|
7.3 |
SF99725 Level 32 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to confidentiality impacts and a timing-based side-channel attack due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7145398
[i Magazine・IS magazine]
