MENU

IBM Java SDK、IBM Java Runtime for IBM iに「任意のコードを実行される脆弱性」 ~Javaの文字列処理に起因。CVSSスコアは8.1

IBMは8月25日、IBM Java SDKおよびIBM Java Runtime for IBM iに、Java文字列処理に起因する脆弱性により、攻撃者が任意のコードを実行する恐れがある、と発表した。3月30日と5月30にも同じ内容の脆弱性情報を発表している。

影響を受けるOSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3

以下の脆弱性が指摘されている。

CVE-2022-40609

IBM SDK、Java Technology Edition 7.1.5.18および8.0.8.0に、Javaの文字列処理の欠陥があり、攻撃者は細工したデータを送信することでシステム上で任意のコードを実行できる可能性がある。

CVSS 基本スコア:8.1(重要)

対処法

以下のPTFを適用することにより修正できる。

IBM i OS PTF 番号 PTF ダウンロード・リンク
7.5   SF99955 Level 6 https://www.ibm.com/support/pages/uid/nas4SF99955
7.4

SF99665 Level 19

https://www.ibm.com/support/pages/uid/nas4SF99665

7.3

SF99725 Level 29 https://www.ibm.com/support/pages/uid/nas4SF99725

 

・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to arbitrary code execution due to an unsafe deserialization flaw (CVE-2022-40609).
https://www.ibm.com/support/pages/node/7029160

 

[i Magazine・IS magazine]