MENU

IBM Java Runtime for IBM iに脆弱性、DoS攻撃や情報の改ざん、業務停止の恐れ ~IBM「Security Bulletin」が警告、影響を受けるのは IBM i 7.2~IBM i 7.5

IBMは8月10日(米国時間)、脆弱性報告ページ「Security Bulletin」で、IBM Java SDKとIBM Java Runtime for IBM iに複数の脆弱性が存在することを公表した。サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがあるという。

CVE-2022-21496、CVE-2022-21434、CVE-2022-21443、CVE-2021-35561、CVE-2022-21299の5種類の脆弱性を指摘している。

影響を受けるOSバージョンは下記のとおり。

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

CVE-2022-21496

Java SEのJNDIコンポーネントに関連する脆弱性により、サイバー攻撃者が情報漏洩や情報の改ざん、業務停止を引き起こす恐れがある。

CVSSの深刻度は、「警告」レベルの5.3。

[参考]CVSS v3の深刻度のレベル分け[参考]CVSS v3の深刻度のレベル

CVE-2022-21434

Java SEのライブラリ・コンポーネントに関連する脆弱性により、サイバー攻撃者が情報漏洩や情報の改ざん、業務停止を引き起こす恐れがある。

CVSSの深刻度は、「警告」レベルの5.3。

CVE-2022-21443
 
Java SEのライブラリ・コンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。

CVSSの深刻度は、「注意」レベルの3.7。

CVE-2021-35561 

Java SEのユーティリティ・コンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。

CVSSの深刻度は、「警告」レベルの5.3。

CVE-2022-21299 

Java SEのJAXPコンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。

CVSSの深刻度は、「警告」レベルの5.3。

対処法/修正方法 

各IBM i(OS)への下記のPTFの適用により修正できる。

・IBM i 7.5 PTF番号 SF99955 *PTFダウンロードはこちら
・IBM i 7.4 PTF番号 SF99665 *PTFダウンロードはこちら
・IBM i 7.3 PTF番号 SF99725 *PTFダウンロードはこちら
・IBM i 7.2 PTF番号 SF99716 *PTFダウンロードはこちら

 

・Security Bulletin:IBM Java SDKとIBM Java Runtime for IBM iに複数の脆弱性(英語)
https://www.ibm.com/support/pages/security-bulletin-ibm-java-sdk-and-ibm-java-runtime-ibm-i-are-vulnerable-unauthenticated-attacker-cause-denial-service-or-low-integrity-impact-due-multiple-vulnerabilities

・IPA「共通脆弱性評価システムCVSS v3概説」*CVSSについて解説
https://www.ipa.go.jp/security/vuln/CVSSv3.html

[i Magazine・IS magazine]

新着