IBMは6月5日、IBM WebSphere Application Server Liberty for IBM iに6種類の脆弱性がある、と発表した。
これにより、
・想定よりも弱いTLSセキュリティによるメールへの不正アクセス [CVE-2023-50312]、
・JavaScriptコードによるクロスサイトスクリプティング攻撃 [CVE-2024-27270]
・DoS(サービス拒否)攻撃 [CVE-2024-25026、CVE-2024-27268、CVE-2024-22353]
・サーバー側リクエスト偽装(フォージェリ)攻撃 [CVE-2024-22329]
を受ける恐れがある。
影響を受けるIBM i OSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2023-50312
IBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.2には、外部へメール送信する際に利用するTLS接続のセキュリティが予想より弱い可能性がある。これによりメールに不正アクセスされる恐れがある。
CVSS 基本スコア:5.3(警告)
CVE-2024-27270
クロスサイトスクリプティング攻撃を受ける脆弱性。URIに任意のJavaScriptコードを埋め込まれる恐れがある。
CVSS 基本スコア : 4.7(警告)
CVE-2024-25026
IBM WebSphere Application Server 8.5、9.0、およびIBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。
CVSS 基本スコア: 5.9(警告)
CVE-2024-27268
IBM WebSphere Application Server Liberty 18.0.0.2~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。
CVSS 基本スコア : 5.9(警告)
CVE-2024-22329
IBM WebSphere Application Server 8.5、9.0、およびIBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、サーバサイドリクエストフォージェリ (SSRF) の脆弱性がある。攻撃者はこの脆弱性を悪用してSSRF攻撃を行う恐れがある。
CVSS 基本スコア : 4.3(警告)
CVE-2024-22353
IBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。
CVSS 基本スコア : 5.9(警告)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.5 | SJ00187 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00187 |
| 7.4 | SJ00190 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00190 |
| 7.3 | SJ00188 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00188 |
| 7.2 | SJ00189 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00189 |
・Security Bulletin: IBM WebSphere Application Server Liberty for IBM i is vulnerable to weak TLS security, cross-site scripting, denial of service, and a server-side request forgery due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7156529
[i Magazine・IS magazine]
