MENU

IBM Db2 Web Query for iの脆弱性を再度「警告」 ~IBM Toolbox for JavaのJava文字列処理に起因、IBM i 7.4・7.5で稼働

IBMは5月30日、IBM Db2 Web Query for iのセットアップとGUIで使用する「IBM Toolbox for Java」のJava文字列処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表した。3月30日にも同じ内容の脆弱性情報を発表している。

影響を受ける製品は、

・IBM Db2 Web Query for i 7.4(IBM i 7.4で稼働)
・IBM Db2 Web Query for i 7.5(IBM i 7.5で稼働)

 *両製品とも、3月30日発表分とはバージョンの表記が異なる。

以下の脆弱性が指摘されている。

CVE-2022-43928

IBM Db2 Web Queryは、IBM Toolbox for JavaのJava文字列を使用して、IBM iのインターフェースにアクセスする。Java文字列はメモリ上に展開されるとガベージコレクションが実行されるまでメモリ上に存在する。そのとき、機密データもメモリ上に展開されていると窃取される恐れがある。IBMでは、機密データがメモリ上に表示される時間を短縮することで、この問題に対処したという。

CVSSベーススコア:4.9(警告)

対処法

IBMでは、以下のPTFの適用を強く推奨している。また、完全な修復にはすべての PTF の適用が必要になる。

製品 グループPTF番号、最小レベル 5770-DBM PTF番号 5770-SS1 PTF番号
IBM Db2 Mirror for i 7.4 SF99668 level 22

SI83019

SI83028

SI82444

SI82954

IBM Db2 Mirror for i 7.5

SF99951 level 4

SI83018 

SI83029

SI82443

SI82948

 

・Security Bulletin: IBM Db2 Mirror for i is vulnerable to attacker obtaining sensitive information due to Java string processing in IBM Toolbox for Java (CVE-2022-43928)
https://www.ibm.com/support/pages/node/6981113

[i Magazine・IS magazine]