IBMは5月23日、IBM Java SDKおよびIBM Java Runtime for IBM iのセキュリティ機能と暗号機能に脆弱性があり、機密情報の漏洩につながる恐れがある、と発表した。
影響を受けるIBM i OSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2023-30441
IBM iで使用されるIBM SDK,Java Technology EditionおよびIBM Javaランタイム環境(JRE)に、デフォルトのセキュリティ・プロバイダーとして搭載されている「IBMJCEPlus」と暗号スイート「JSSE」に欠陥があり、その欠陥を突く設定がなされると、機密情報の漏洩につながる可能性がある。
CVSSベーススコアは、7.5(重要)。
対処法
以下のJava Group PTFの適用により修正できる。
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.5 |
SF99955 Level 3 |
|
| 7.4 |
SF99665 Level 16 |
|
| 7.3 |
SF99725 Level 27 |
https://www.ibm.com/support/pages/uid/nas4SF99725 |
| 7.2 |
SF99716 Level 37 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to exposing sensitive information due to flaws and configurations (CVE-2023-30441).(英語)
https://www.ibm.com/support/pages/node/6997499
◎IBM i・Power関連の脆弱性情報(2023年1月~現在)
・Power9・Power10のPowerVMに最高レベルの脆弱性 ~特権昇格の恐れ、IBMは修正版ファームウェアのインストールを強く推奨
・OpenSSL for IBM iに複数の脆弱性、DoS攻撃や機密情報漏洩の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響
・WAS Liberty for IBM iに複数の脆弱性、機密情報の漏洩や特権昇格の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響
・IBM i用のIBM HTTP Serverに複数の脆弱性 ~IBM i 7.2~7.5に影響。HTTPレスポンス分割攻撃やDoS攻撃を受ける恐れ
・複数のIBM i製品で「Log4j バージョン1.x」の脆弱性が発覚 ~Navigator for iやACS、IWS、IASなど。IBMが対処を推奨
・IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」
・Power10各モデルに脆弱性、Linuxカーネル内の関数を操作すると機密情報を取得できる ~CVE-2022-3435、ベーススコアは4.3(警告)
・IBM iのWAS Libertyに、HTTPヘッダーインジェクションの脆弱性、IBM i 7.2~7.5に影響 ~さまざまなDoSを受ける恐れ、スコアは最高7.5(重要)
・IBM Navigator for iに複数の脆弱性 ~IBM i 7.3~7.5版、無許可ファイルへのアクセス、SQLインジェクションの実行などが可能に
[i Magazine・IS magazine]
