IBMは7月9日、IBM iで使用されているIBM SDK Java Technology EditionとIBM Runtime Environment Javaに脆弱性があり、リモートの攻撃者が可用性への影響 (CVE-2024-21085)やDoS(サービス拒否)攻撃 (CVE-2023-38264)、およびセキュリティ制限のバイパス (CVE-2024-3933) を引き起こす恐れがある、と発表した。
IBM SDK Java Technology EditionとIBM Runtime Environment Javaは今年3月にも脆弱性の発表があり、対処用のPTFが発表されている。記事はこちら
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2024-21085
VMコンポーネントに関連した Java SEの特定されていない脆弱性により、 リモートの攻撃者が可用性に影響を与える恐れがある。
CVSS 基本スコア: 3.7(注意)
CVE-2023-38264
IBM Java SDKのObject Request Broker (ORB) 7.1.0.0~7.1.5.21、8.0.0.0~8.0.8.21は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタする際に用いられるJEP 290 MaxRefおよびMaxDepthの不適切な強制により、状況によってはDoS(サービス拒否)攻撃に対して脆弱性をもつ。
CVSS 基本スコア:5.9(警告)
CVE-2024-3933
Eclipse Openj9 は、Concurrent Scavenge Garbage Collectionサイクルが有効で、arraycopy のコピー元とコピー先のメモリ領域が重なっている状態でarraycopyシーケンスを実行すると、不正な長さのバッファへのアクセスを制限しないため、ローカルで認証された攻撃者がセキュリティ制限をバイパスできる可能性がある。
攻撃者は、特別に細工したリクエストを送信することで、配列範囲の終端を超えたアドレスへの読み書きを行うことが可能になる。
CVSS 基本スコア:5.3(注意)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | 5770-JV1 PTF 番号 | PTF ダウンロード・リンク |
| 7.5 |
SF99955 Level 10 |
|
| 7.4 |
SF99665 Level 23 |
|
| 7.3 | SF99725 Level 33 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a denial of service and bypassing security restrictions due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7159328
[i Magazine・IS magazine]
