IBMは5月9日、OpenSSL for IBM iに複数の脆弱性があり、DoS(サービス拒否攻撃)や攻撃者が機密情報を取得する可能性がある、と発表した。
影響を受けるIBM iのOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2023-0464
OpenSSLは、ポリシー制約を含む「X.509 証明書チェーン」の検証に関するエラーによりDoS(サービス拒否)攻撃を受ける脆弱性がある。計算機資源の指数関数的な使用を誘発する証明書チェーンを作成することで、攻撃者はDoS攻撃を引き起こすことができる。
CVSS ベーススコア:5.3(警告)
CVE-2023-0286
OpenSSLには、「X.509 GeneralName」のX.400アドレス処理に関連する型の混同エラーによりるDoS(サービス拒否)攻撃を受ける脆弱性がある。memcmp呼び出しに任意のポインタを渡すことで、攻撃者はこの脆弱性を悪用し、メモリの内容を読み取ったり、DoS攻撃を起こすことが可能になる。
CVSS ベーススコア:8.2(重要)
CVE-2022-4450
OpenSSLには、「PEM_read_bio_ex()」関数による特定のPEMデータの不適切な処理によるダブルフリーエラーが原因となり、で、DoS(サービス拒否)攻撃を受ける脆弱性がある。細工されたPEM ァイルを送信して解析させることで、攻撃者はこの脆弱性を悪用してシステムをクラッシュさせることができる。
CVSS ベーススコア:7.5(重要)
CVE-2022-4304
OpenSSLは、RSA Decryptionの実装におけるタイミングベースのサイドチャネルに起因して、リモート攻撃者が機密情報を取得する恐れがある。攻撃者は、復号化のために過度に多くの試行メッセージを送信することで、機密情報を取得することができる。
CVSS ベーススコア:7.5(重要)
CVE-2023-0215
OpenSSLは、「BIO_new_NDEF」関数によるストリーミングASN.1データの不正な処理に関連する、use-after-freeエラーによりDoS(サービス拒否)攻撃を受ける脆弱性がある。
CVSS ベーススコア:7.5(重要)
◎ 修正
上記の脆弱性は、修正プログラムの適用により対処できる。
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.5 | SI83245 | https://www.ibm.com/support/pages/ptf/SI83245 |
| 7.4、7.3、7.2 | SI83194 | https://www.ibm.com/support/pages/ptf/SI83194 |
https://www.ibm.com/support/fixcentral
[i Magazine・IS magazine]
