MENU

IBM Java SDK、IBM Java Runtime for IBM iに今年3回目の新しい脆弱性 ~DoS攻撃、機密情報の奪取、可用性・整合性への影響を受ける恐れ

IBMは10月16日、IBM iで使用されているIBM SDK Java Technology EditionとIBM Runtime Environment Javaに複数の脆弱性があり、リモートの攻撃者による機密情報の奪取 (CVE-2024-21145)や可用性への影響(CVE-2024-21144)、整合性への影響(CVE-2024-21131)、およびDoS(サービス拒否)攻撃(CVE-2024-27267)などを受ける恐れがある、と発表した。

IBM SDK Java Technology EditionとIBM Runtime Environment Javaの新しい脆弱性については、今年3月と7月にも発表があり、今回で3回目。対処用のPTFの適用が推奨されている。

影響を受けるOSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3

以下の脆弱性が指摘されている。

CVE-2024-21145

Java SEの2Dコンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が機密性と完全性を脅かす攻撃を仕掛ける恐れがある。

CVSS 基本スコア: 4.8(警告)

CVE-2024-21144

Java SEの並列処理コンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が可用性を脅かす攻撃を仕掛ける恐れがある。

CVSS 基本スコア:3.7(注意)

CVE-2024-21131

Java SEのVM コンポーネントに関連する不特定の脆弱性により、リモートの攻撃者が整合性への影響を及ぼす恐れがある。

CVSS 基本スコア:3.7(注意)

CVE-2024-27267

IBM SDK, Java Technology Edition 7.1.0.0~7.1.5.18、8.0.0.0~8.0.8.26 に含まれるオブジェクト・リクエスト・ブローカ (ORB) は、ORBリスナー・スレッドの管理の不具合により、DoS(サービス拒否)攻撃を受ける恐れがある。

CVSS 基本スコア: 5.9(警告)

対処法

以下のPTFを適用することにより修正できる。

IBM i OS 5770-JV1 PTF 番号 PTF ダウンロード・リンク
7.5

SF99955 Level 12

https://www.ibm.com/support/pages/uid/nas4SF99955
7.4

SF99665 Level 25

https://www.ibm.com/support/pages/uid/nas4SF99665
7.3 SF99725 Level 35 https://www.ibm.com/support/pages/uid/nas4SF99725

・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to confidentiality, availability, and integrity impacts due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7173297

[i Magazine・IS magazine]

新着