MENU

IBM WebSphere Application Server Liberty for IBM iに6種類の脆弱性 ~TLS接続のセキュリティに難、DoS攻撃、クロスサイトスクリプティング攻撃などの恐れ

IBMは6月5日、IBM WebSphere Application Server Liberty for IBM iに6種類の脆弱性がある、と発表した。

これにより、

・想定よりも弱いTLSセキュリティによるメールへの不正アクセス [CVE-2023-50312]、
・JavaScriptコードによるクロスサイトスクリプティング攻撃 [CVE-2024-27270]
・DoS(サービス拒否)攻撃 [CVE-2024-25026、CVE-2024-27268、CVE-2024-22353]
・サーバー側リクエスト偽装(フォージェリ)攻撃 [CVE-2024-22329]

を受ける恐れがある。

影響を受けるIBM i OSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

以下の脆弱性が指摘されている。

CVE-2023-50312

IBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.2には、外部へメール送信する際に利用するTLS接続のセキュリティが予想より弱い可能性がある。これによりメールに不正アクセスされる恐れがある。

CVSS 基本スコア:5.3(警告)

CVE-2024-27270

クロスサイトスクリプティング攻撃を受ける脆弱性。URIに任意のJavaScriptコードを埋め込まれる恐れがある。

CVSS 基本スコア : 4.7(警告)

CVE-2024-25026

IBM WebSphere Application Server 8.5、9.0、およびIBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。

CVSS 基本スコア: 5.9(警告)

CVE-2024-27268

IBM WebSphere Application Server Liberty 18.0.0.2~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。

CVSS 基本スコア : 5.9(警告)

CVE-2024-22329

IBM WebSphere Application Server 8.5、9.0、およびIBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、サーバサイドリクエストフォージェリ (SSRF) の脆弱性がある。攻撃者はこの脆弱性を悪用してSSRF攻撃を行う恐れがある。

CVSS 基本スコア : 4.3(警告)

CVE-2024-22353

IBM WebSphere Application Server Liberty 17.0.0.3~24.0.0.4に、DoS(サービス拒否)攻撃を受ける脆弱性がある。攻撃者はこの脆弱性を悪用し、サーバーのメモリリソースを消費させる恐れがある。

CVSS 基本スコア : 5.9(警告)

対処法

以下のPTFを適用することにより修正できる。

IBM i OSバージョン  PTF番号  ダウンロード・リンク
7.5 SJ00187 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00187
7.4 SJ00190 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00190
7.3 SJ00188 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00188
7.2 SJ00189 https://www.ibm.com/mysupport/s/fix-information?legacy=SJ00189

・Security Bulletin: IBM WebSphere Application Server Liberty for IBM i is vulnerable to weak TLS security, cross-site scripting, denial of service, and a server-side request forgery due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7156529

[i Magazine・IS magazine]

新着