IBM i用のIBM HTTP Serverに複数の脆弱性　～IBM i 7.2～7.5に影響。HTTPレスポンス分割攻撃やDoS攻撃を受ける恐れ

IBMは4月19日（米国時間）、IBM i用のIBM HTTP Server (powered by Apache) に複数の脆弱性がある、と発表した。影響を受けるIBM iのOSバージョンは以下のとおり。CVE番号は、CVE-2022-37436、CVE-2006-20001。

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

この問題には、IBM iにPTFを適用することで修正できる（末尾記載）。

脆弱性の概要：CVE-2022-37436

CVE-2022-37436の脆弱性は、Apache HTTP Serverのプロキシ/ゲートウェイ機能mod_proxyに対してバックエンド攻撃を仕掛けられると、HTTPレスポンス分割攻撃を受ける恐れがあるというもの。HTTPレスポンス分割攻撃とは、攻撃者が悪意のあるHTTPヘッダーをプロキシサーバーにキャッシュさせておき、そのキャッシュを他のユーザーが参照すると、悪意のあるHTTPファイルを読み込んで有害サイトへ誘導したり、Cookieが盗難される恐れのある攻撃をさす。
CVSSベーススコア：6.1（警告）

脆弱性の概要：CVE-2006-20001

CVE-2006-20001の脆弱性は、Apache HTTP ServerのWebDAV（分散オーサリング、バージョン管理）モジュールmod_davに対して、0（ゼロ）バイトの境界外読み取り、または書き込みが行われると、DoS攻撃を受ける恐れがあるというもの。
CVSS ベーススコア: 5.3（警告）

◎対処法

上記の修正を含むIBM iのPTF番号は、以下のとおり。

◎ IBMの発表「Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to HTTP response splitting and denial of service attacks (CVE-2022-37436, CVE-2006-20001)」（英語）
https://www.ibm.com/support/pages/node/6984745

［i Magazine・IS magazine］