MENU

IBM Java SDK、IBM Java Runtime for IBM iに今年2回目の脆弱性 ~可用性への影響、DoS攻撃、セキュリティ制限をバイパスする恐れ

IBMは7月9日、IBM iで使用されているIBM SDK Java Technology EditionとIBM Runtime Environment Javaに脆弱性があり、リモートの攻撃者が可用性への影響 (CVE-2024-21085)やDoS(サービス拒否)攻撃 (CVE-2023-38264)、およびセキュリティ制限のバイパス (CVE-2024-3933) を引き起こす恐れがある、と発表した。

IBM SDK Java Technology EditionとIBM Runtime Environment Javaは今年3月にも脆弱性の発表があり、対処用のPTFが発表されている。記事はこちら

影響を受けるOSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3

以下の脆弱性が指摘されている。

CVE-2024-21085

VMコンポーネントに関連した Java SEの特定されていない脆弱性により、 リモートの攻撃者が可用性に影響を与える恐れがある。

CVSS 基本スコア: 3.7(注意)

CVE-2023-38264

IBM Java SDKのObject Request Broker (ORB) 7.1.0.0~7.1.5.21、8.0.0.0~8.0.8.21は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタする際に用いられるJEP 290 MaxRefおよびMaxDepthの不適切な強制により、状況によってはDoS(サービス拒否)攻撃に対して脆弱性をもつ。

CVSS 基本スコア:5.9(警告)

CVE-2024-3933

Eclipse Openj9 は、Concurrent Scavenge Garbage Collectionサイクルが有効で、arraycopy のコピー元とコピー先のメモリ領域が重なっている状態でarraycopyシーケンスを実行すると、不正な長さのバッファへのアクセスを制限しないため、ローカルで認証された攻撃者がセキュリティ制限をバイパスできる可能性がある。

攻撃者は、特別に細工したリクエストを送信することで、配列範囲の終端を超えたアドレスへの読み書きを行うことが可能になる。

CVSS 基本スコア:5.3(注意)

対処法

以下のPTFを適用することにより修正できる。

IBM i OS 5770-JV1 PTF 番号 PTF ダウンロード・リンク
7.5

SF99955 Level 10

https://www.ibm.com/support/pages/uid/nas4SF99955

7.4

SF99665 Level 23

https://www.ibm.com/support/pages/uid/nas4SF99665

7.3 SF99725 Level 33 https://www.ibm.com/support/pages/uid/nas4SF99725

・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a denial of service and bypassing security restrictions due to multiple vulnerabilities. 

https://www.ibm.com/support/pages/node/7159328

[i Magazine・IS magazine]