IBMは1月31日、Navigator for iに脆弱性があり、インターフェースの制限の回避とサーバーサイドのリクエスト偽装を受ける恐れがある、と発表した。
影響を受けるIBM i OSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2024-51464
Navigator for iのインターフェース制限を回避される脆弱性がある。攻撃者は、特別に細工したリクエストを送信することで、一般のNavigator for iユーザー実行できない操作をリモートで実行する恐れがある。
CVSS 基本スコア:4.3(警告)
CVE-2024-51463
サーバーに成り代わりリクエスト送信を強要する攻撃手法である「サーバーサイドリクエストフォージェリ(SSRF)の脆弱性がある。攻撃者は、システムから不正なリクエストを送信できるようになり、ほかの攻撃を容易にしたりできる可能性がある。
CVSS 基本スコア:5.4(警告)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.5 | SJ02361 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ02361 |
| 7.4 | SJ02360 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ02360 |
| 7.3 | SJ02359 | https://www.ibm.com/mysupport/s/fix-information?legacy=SJ02359 |
・Security Bulletin: IBM i is vulnerable to a denial of service of network ports due to deserialization of untrusted data in Management Centr
・Security Bulletin: IBM i is vulnerable to bypassing Navigator for i interface restrictions and a server-side request forgery [CVE-2024-51463, CVE-2024-51464]
https://www.ibm.com/support/pages/node/7179509
[i Magazine・IS magazine]
