IBMは1月18日(米国時間)、IBM Navigator for iに複数の脆弱性が存在し、許可されていないファイルへのアクセス、ダウンロード、SQLインジェクションの実行などが可能になる恐れがある。
影響を受ける製品は、IBM i 7.3、7.4、7.5で稼働するIBM Navigator for i。
以下の脆弱性を挙げている。
CVEID:CVE-2022-43859
CVEのスコア:6.3(警告)
IBM Navigator for i 7.3~7.5のユーザーがUNIONを使用したSQLインジェクションを実行すると、ファイルパーミッションの内容を見ることができてしまい、許可されていないオブジェクトの機密情報が取得可能になる。
CVEID:CVE-2022-43857
CVEのスコア:4.3(警告)
IBM Navigator for i 7.3~7.5のユーザーは、許可されていないIBM Navigator for iログ・ファイルへのアクセスが可能になる。
リモートから利用するIBM Navigator for i 7.3~7.5のユーザーは、サーブレットフィルターを変更することにより、インターフェイスのチェックをバイパスしてログファイルのダウンロードが可能になる。
CVEID:CVE-2022-43858
CVEのスコア:4.3(警告)
IBM Navigator for i 7.3~7.5のユーザーは、許可されていないファイルへのアクセスとダウンロードが行える可能性がある。
CVEID:CVE-2022-43860
CVEのスコア:4.3(警告)
IBM Navigator for i 7.3~7.5のユーザーは、SQLインジェクションの実行により許可されていない機密情報を取得できる可能性がある。またユーザープロファイルの属性を見ることが可能になる。
対処法・修正方法
IBM iへのPTFの適用により修正できる。CVEの修正を含むIBM i PTFは、IBM HTTP Server for iのグループPTFに含まれている。IBM HTTP Server for iの将来のグループPTFにも、このCVEの修正が含まれる予定。
PTFは以下のとおり。
・7.5 → PTF番号:SF99952 – 05 ダウンロード
・7.4→ PTF番号: SF99662 – 25 ダウンロード
・7.3 → PTF番号:SF99722 – 42 ダウンロード
IBM Navigator for i脆弱性ページ
https://www.ibm.com/support/pages/node/6850801
IBM Fix Central
https://www.ibm.com/support/fixcentral
[i Magazine・IS magazine]