IBMは7月17日、Db2 Web Query for iで使用するSnakeYamlに任意のコードを実行される脆弱性がある、と発表した。IBMでは修正プログラムの適用を強く推奨している。
影響を受けるのは、
・IBM Db2 Web Query for i 2.3.0
・IBM Db2 Web Query for i 2.4.0
IBM i OSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2022-1471
SnakeYamlは、Db2 Web Query(Db2 Web Query for iを含む)で使用するYAMLのパーサーで、Stringなどからyamlデータを読み込み、指定する型(非指定も可能)にパースするライブラリ。SnakeYamlの脆弱性の影響を受けるのは、オブジェクトを作成するためのConstructor関数で、特別に細工されたyamlデータを読み込み改ざんされると、任意のコードを実行することが可能な、特権昇格を突く攻撃を受ける恐れがある。
CVSSベーススコアは、8.3(重要)。
対処法
以下のPTFを適用することにより修正できる。
| Db2 Web Query for i バージョン |
IBM i OS | PTF ダウンロード |
| 2.3.0 | ・IBM i 7.5 ・IBM i 7.4 ・IBM i 7.3 |
・SF99671 – 09 ・SF99654 – 09 ・SF99533 – 09 |
| 2.4.0 | ・SI83837 ・SI83838 |
・Security Bulletin: IBM Db2 Web Query for i is vulnerable to arbitrary code execution due to SnakeYaml [CVE-2022-1471]
https://www.ibm.com/support/pages/node/7013297
[i Magazine・IS magazine]
