MENU

IBM HTTP Server for i に脆弱性、「Security Bulletin」が警告 ~3種類の脅威、影響を受けるのは IBM i 7.2~IBM i 7.5、PTF適用で修正可能

IBMは7月28日(米国時間)、脆弱性報告ページ「Security Bulletin」で、IBM HTTP Server(powered by Apache)for IBM iに脆弱性があることを公表した。

CVE-2022-28615、CVE-2022-28614、CVE-2022-31813の3種類の脆弱性を指摘している。

影響を受けるOSバージョンは下記のとおり。

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

CVE-2022-28615

Apache HTTP Serverにおいて、きわめて大きな入力バッファを関数 ap_strcmp_match() に渡して境界外のデータを読ませることにより、機密情報を不正に取得される可能性がある。また攻撃者はこの脆弱性を悪用して、クラッシュや情報漏えいを引き起こす可能性がある、としている。

CVSSの深刻度は、「警告」レベルの6.5。

[参考]CVSS v3の深刻度のレベル分け
[参考]CVSS v3の深刻度のレベル

CVE-2022-28614

Apache HTTP Serverの関数 ap_rwrite() のエラーにより、リモートの攻撃者に機密情報を取得される可能性がある。関数 mod_luas r:puts() などの ap_rwrite() や ap_rputs() を使って非常に大きな入力を反映させることにより、攻撃者は意図しないメモリを読み取る可能性がある。

CVSSの深刻度は、「警告」レベルの5.3。

CVE-2022-31813  

Apache HTTP Serverにおいて、クライアントからコンテンツを配置するオリジンサーバーへアクセスする際、以下の状況で脆弱性が発生する。

クライアント側のConnectionヘッダーの接続制御(ホップ・バイ・ホップ)に基づきオリジンサーバーへアクセスする際、HTTPヘッダーフィールドの1つであるX-Forwarded-* ヘッダーの送信失敗により、遠隔地の攻撃者はセキュリティ制限を回避することが可能になる。攻撃者は、この脆弱性を利用して、オリジンサーバーやアプリケーションのIPベースの認証を回避できる。

CVSSの深刻度は、「警告」レベルの5.3。

対処法/修正方法

各IBM i(OS)へのPTFの適用により修正できる。

・IBM i 7.5 PTF番号 SI80337 *PTFダウンロードはこちら
・IBM i 7.4 PTF番号 SI80353 *PTFダウンロードはこちら
・IBM i 7.3 PTF番号 SI80354 *PTFダウンロードはこちら
・IBM i 7.2 PTF番号 SI80355 *PTFダウンロードはこちら

 

・Security Bulletin: IBM i向けのIBM HTTP Server (powered by Apache) には、複数の脆弱性が存在し、セキュリティ制限を回避して機密情報を取得することが可能(英語)
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-http-server-powered-by-apache-for-ibm-i-is-vulnerable-to-bypass-security-restrictions-and-obtain-sensitive-information-due-to-multiple-vulnerabilities/

・上記の詳細説明
https://www.ibm.com/support/pages/node/6607876

・IBM HTTP Server – Powered by Apacheページ
https://www.ibm.com/docs/ja/ibm-http-server/9.0.5?topic=SSEQTJ_9.0.5/com.ibm.websphere.ihs.doc/ihs/welcome_ihs.html

・IBM HTTP Server for i (5770DG1)
https://www.ibm.com/docs/ja/i/7.5?topic=programs-http-server-i-5770dg1

・IPA「共通脆弱性評価システムCVSS v3概説」*CVSSについて解説
https://www.ipa.go.jp/security/vuln/CVSSv3.html

[i Magazine・IS magazine]