IBMは5月13日、IBM iで使用されているIBM HTTP Server(powered by Apache) には、HTTP/2 プロトコルを使用したDoS(サービス拒否)攻撃を受ける脆弱性がある、と発表した。
IBM i用IBM HTTP Server (powered by Apache) の脆弱性については今年3月16日付け「Security Bulletin」でも警告されている。今回の脆弱性では、以下が指摘されている。
CVE-2023-44487
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
IBM i で使用される IBM HTTP Server (powered by Apache) には、HTTP/2 プロトコルの多重化ストリームの誤った処理によりDoS(サービス拒否)攻撃を受ける脆弱性がある。
CVSSベース・スコア:7.5(重要)
対処法
以下のPTFを適用することにより対処できる。
| IBM i OSバージョン | PTF 番号 | PTF ダウンロード・リンク |
| 7.5 | SJ00522 | https://www.ibm.com/mysupport/s/fix-information/aDrKe0000004D60KAE |
| 7.4 | SJ00521 | https://www.ibm.com/mysupport/s/fix-information/aDrKe0000004D5vKAE |
| 7.3 | SJ00520 | https://www.ibm.com/mysupport/s/fix-information/aDrKe0000004D5qKAE |
・Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to a denial of service attack using HTTP/2 protocol.
https://www.ibm.com/support/pages/node/7142039
[i Magazine・IS magazine]
