IBMは8月25日、IBM Java SDKおよびIBM Java Runtime for IBM iに、Java文字列処理に起因する脆弱性により、攻撃者が任意のコードを実行する恐れがある、と発表した。3月30日と5月30にも同じ内容の脆弱性情報を発表している。
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2022-40609
IBM SDK、Java Technology Edition 7.1.5.18および8.0.8.0に、Javaの文字列処理の欠陥があり、攻撃者は細工したデータを送信することでシステム上で任意のコードを実行できる可能性がある。
CVSS 基本スコア:8.1(重要)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | PTF 番号 | PTF ダウンロード・リンク |
| 7.5 | SF99955 Level 6 | https://www.ibm.com/support/pages/uid/nas4SF99955 |
| 7.4 |
SF99665 Level 19 |
https://www.ibm.com/support/pages/uid/nas4SF99665 |
|
7.3 |
SF99725 Level 29 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to arbitrary code execution due to an unsafe deserialization flaw (CVE-2022-40609).
https://www.ibm.com/support/pages/node/7029160
[i Magazine・IS magazine]
