IBMは10月16日、IBM iで使用されているIBM SDK Java Technology EditionとIBM Runtime Environment Javaに複数の脆弱性があり、リモートの攻撃者による機密情報の奪取 (CVE-2024-21145)や可用性への影響(CVE-2024-21144)、整合性への影響(CVE-2024-21131)、およびDoS(サービス拒否)攻撃(CVE-2024-27267)などを受ける恐れがある、と発表した。
IBM SDK Java Technology EditionとIBM Runtime Environment Javaの新しい脆弱性については、今年3月と7月にも発表があり、今回で3回目。対処用のPTFの適用が推奨されている。
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2024-21145
Java SEの2Dコンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が機密性と完全性を脅かす攻撃を仕掛ける恐れがある。
CVSS 基本スコア: 4.8(警告)
CVE-2024-21144
Java SEの並列処理コンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が可用性を脅かす攻撃を仕掛ける恐れがある。
CVSS 基本スコア:3.7(注意)
CVE-2024-21131
Java SEのVM コンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が整合性への影響を及ぼす恐れがある。
CVSS 基本スコア:3.7(注意)
CVE-2024-27267
IBM SDK, Java Technology Edition 7.1.0.0~7.1.5.18、8.0.0.0~8.0.8.26 に含まれるオブジェクト・リクエスト・ブローカ (ORB) は、ORBリスナー・スレッドの管理の不具合により、DoS(サービス拒否)攻撃を受ける恐れがある。
CVSS 基本スコア: 5.9(警告)
対処法
以下のPTFを適用することにより修正できる。
IBM i OS | 5770-JV1 PTF 番号 | PTF ダウンロード・リンク |
7.5 |
SF99955 Level 12 |
https://www.ibm.com/support/pages/uid/nas4SF99955 |
7.4 |
SF99665 Level 25 |
https://www.ibm.com/support/pages/uid/nas4SF99665 |
7.3 | SF99725 Level 35 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to confidentiality, availability, and integrity impacts due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7173297
[i Magazine・IS magazine]