MENU

IBM i Merlinに複数の脆弱性 ~Go言語に起因、XSS攻撃やDoS攻撃、ディレクトリ・トラバースなどを受ける恐れ

IBMは9月5日、IBM i Merlin(Modernization Engine for Lifecycle Integration)にGo言語に起因する複数の脆弱性がある、と発表した。クロスサイトスクリプティング(XSS攻撃)やDoS(サービス拒否)攻撃、攻撃者がシステム上のディレクトリをトラバースする可能性などが指摘されている。

影響を受けるバージョンは、

・IBM i Merlin 1.0~1.4.8
・IBM i Merlin 2.0~2.0.2

以下の脆弱性が指摘されている。

CVE-2022-30636

Go言語は、メモリへのキャッシュの配置を決定するDirCacheの欠陥により、リモートの攻撃者がシステム上のディレクトリをトラバース(横断的に探索・処理)する可能性があり、その結果を基に悪意のあるURLを送信することで、システム上の任意のファイルを閲覧可能になる。

CVSS基本スコア:7.5(重要)

CVE-2023-3978

Go言語のhtmlパッケージには、クロスサイトスクリプティング(XSS攻撃)を受ける脆弱性がある。攻撃者が用意したURLをクリックすると、被害者のWebブラウザ上でスクリプトが実行され、被害者のクッキーベースの認証情報を盗むことが可能になる。

CVSS 基本スコア: 6.1(警告)

CVE-2023-45288

Go言語のnet/httpとx/net/http2パッケージには、HTTP/2プロトコルスタックのCONTINUATIONフレームの取り扱い不備によるメモリ枯渇の欠陥があり、DoS(サービス拒否)攻撃を受ける脆弱性がある。

CVSS基本スコア:7.5(重要)

対処法

脆弱性対策済みのバージョンへアップグレードすることにより対処できる。

脆弱性のあるバージョン    修正済みバージョン
IBM i Merlin 1.0~1.4.8   IBM i Merlin 1.4.9
IBM i Merlin 2.0~2.0.2   ★IBMサイトの情報が不正確と思われるため、後日、追記します。

・Security Bulletin: IBM i Modernization Engine for Lifecycle Integration is vulnerable to multiple vulnerabilities https://www.ibm.com/support/pages/node/7167594

[i Magazine・IS magazine]