IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表した。CVE番号は、CVE-2022-43928。CVSSベーススコアは4.9で「警告」。
IBM Db2 Web Queryは、IBM Toolbox for JavaのJava文字列を使用して、IBM iのインターフェースにアクセスする。Java文字列はメモリ上に展開されるとガベージコレクションが実行されるまでメモリ上に存在する。そのとき、機密データもメモリ上に展開されていると窃取される可能性がある。IBMでは、機密データがメモリ上に表示される時間を短縮することで、この問題に対処したという。
対象となるIBM Db2 Web Query for iのバージョンは以下のとおり。
・IBM Db2 Web Query for i 2.3.0(IBM i 7.3、7.4、7.5で稼働)
・IBM Db2 Web Query for i 2.4.0(IBM i 7.4、7.5で稼働)
この脆弱性には、以下のPTFをあてることで対処できる。
・IBM Db2 Web Query for i 2.3.0(IBM i 7.3)→ SF99722-43
・IBM Db2 Web Query for i 2.3.0(IBM i 7.4)→ SF99662-26
・IBM Db2 Web Query for i 2.3.0(IBM i 7.5)→ SF99952-06
・IBM Db2 Web Query for i 2.4.0(IBM i 7.4)→ SF99662-26
・IBM Db2 Web Query for i 2.4.0(IBM i 7.5)→ SF99952-06
IBM Security Bulletinsの記事
https://www.ibm.com/support/pages/node/6967365
[i Magazine・IS magazine]
