IBMは8月10日(米国時間)、脆弱性報告ページ「Security Bulletin」で、IBM Java SDKとIBM Java Runtime for IBM iに複数の脆弱性が存在することを公表した。サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがあるという。
CVE-2022-21496、CVE-2022-21434、CVE-2022-21443、CVE-2021-35561、CVE-2022-21299の5種類の脆弱性を指摘している。
影響を受けるOSバージョンは下記のとおり。
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
CVE-2022-21496
Java SEのJNDIコンポーネントに関連する脆弱性により、サイバー攻撃者が情報漏洩や情報の改ざん、業務停止を引き起こす恐れがある。
CVSSの深刻度は、「警告」レベルの5.3。
[参考]CVSS v3の深刻度のレベル分け[参考]CVSS v3の深刻度のレベル
CVE-2022-21434
Java SEのライブラリ・コンポーネントに関連する脆弱性により、サイバー攻撃者が情報漏洩や情報の改ざん、業務停止を引き起こす恐れがある。
CVSSの深刻度は、「警告」レベルの5.3。
CVE-2022-21443
Java SEのライブラリ・コンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。
CVSSの深刻度は、「注意」レベルの3.7。
CVE-2021-35561
Java SEのユーティリティ・コンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。
CVSSの深刻度は、「警告」レベルの5.3。
CVE-2022-21299
Java SEのJAXPコンポーネントに関連する脆弱性により、サイバー攻撃者がDoS攻撃や情報の改ざんを仕掛ける恐れがある。
CVSSの深刻度は、「警告」レベルの5.3。
対処法/修正方法
各IBM i(OS)への下記のPTFの適用により修正できる。
・IBM i 7.5 PTF番号 SF99955 *PTFダウンロードはこちら
・IBM i 7.4 PTF番号 SF99665 *PTFダウンロードはこちら
・IBM i 7.3 PTF番号 SF99725 *PTFダウンロードはこちら
・IBM i 7.2 PTF番号 SF99716 *PTFダウンロードはこちら
・Security Bulletin:IBM Java SDKとIBM Java Runtime for IBM iに複数の脆弱性(英語)
https://www.ibm.com/support/pages/security-bulletin-ibm-java-sdk-and-ibm-java-runtime-ibm-i-are-vulnerable-unauthenticated-attacker-cause-denial-service-or-low-integrity-impact-due-multiple-vulnerabilities
・IPA「共通脆弱性評価システムCVSS v3概説」*CVSSについて解説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
[i Magazine・IS magazine]
