MENU

IBM iのWAS Libertyに、HTTPヘッダーインジェクションの脆弱性、IBM i 7.2~7.5に影響 ~さまざまなDoSを受ける恐れ、スコアは最高7.5(重要)

IBMは2月1日(米国時間)、IBM iのOS機能の1つである「IBM WebSphere Application Server Liberty for IBM i」にHTTPヘッダーインジェクションの脆弱性があり、さまざまなDoS(サービス拒否)攻撃を受ける恐れがある、と発表した。

影響を受けるのは、IBM i 7.2~7.5の各OSバージョン。

IBMでは修正パッチ(PTF)を適用することで対処可能とし、ダウンロードページを案内している。

以下の脆弱性を挙げている。

CVEID:CVE-2022-34165
CVEのスコア:5.4(警告)

IBM WebSphere Application Server 7.0、8.0、8.5、9.0およびIBM WebSphere Application Server Liberty 17.0.0.3~22.0.0.9には、HTTPヘッダーインジェクションの脆弱性が存在する。攻撃者は、脆弱なシステムに対して、キャッシュ・ポイズニングやクロスサイト・スクリプティングなどの攻撃を行うことができる。

CVEID:CVE-2022-3509
CVEのスコア:5.7(警告)

protobuf-java coreおよびliteには、textformatデータの解析手順の欠陥によるサービス拒否の脆弱性がある。リモートの認証済み攻撃者はこの脆弱性を悪用し、長いガベージコレクションの休止を引き起こすことができる。

CVEID:CVE-2022-3171
CVEのスコア:5.7(警告)

protobuf-java coreおよびlite には、バイナリおよびテキスト形式データの解析手順の不備によるサービス拒否の脆弱性がある。リモートの認証済み攻撃者はこの脆弱性を悪用し、長いガベージコレクションの休止を引き起こすことができる。

CVEID:CVE-2022-37734
CVEのスコア:7.5(重要)

GraphQL Javaには、制御不能なリソース消費の欠陥によるサービス拒否の脆弱性がある。Directive overloadingを使用して細工したリクエストを送信することで、リモートの攻撃者はこの脆弱性を悪用してサービス拒否の状態を引き起こせる。

CVEID:CVE-2022-24839
CVEのスコア:7.5(重要)

Sparkle Motion Nokogiriには、org.cyberneko.htmlのフォークで不正なHTMLマークアップを解析する際に java.lang.OutOfMemoryError例外が発生し、サービス拒否の状態になる脆弱性が存在する。リモートの攻撃者はこの脆弱性を悪用してサービス拒否状態を引き起こせる。

PTFは以下のとおり。

IBM i Release 5770-SS1
・7.5 → PTF番号:SI81733 ダウンロード
・7.4 → PTF番号:SI81734 ダウンロード
・7.3 → PTF番号:SI81735 ダウンロード
・7.2 → PTF番号:SI81736 ダウンロード

IBM Navigator for i脆弱性ページ
https://www.ibm.com/support/pages/node/6850801

IBM Fix Central
https://www.ibm.com/support/fixcentral

[i Magazine・IS magazine]