IBMは2月10日、IBM iで使用されているIBM SDK Java Technology EditionとIBM Runtime Environment Javaに複数の脆弱性があり、リモートの攻撃者がDoS(サービス拒否)攻撃や、JNI関数の利用中に不正な値長を返す恐れがある、と発表した。
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
以下の脆弱性が指摘されている。
CVE-2024-21217
Java SE(コンポーネント:シリアライゼーション)の脆弱性により、リモートの攻撃者がDoS(サービス拒否)攻撃を引き起こすことが可能になる。
CVSS 基本スコア:3.7(注意)
CVE-2024-21208
Java SE (コンポーネント:ネットワーク) の脆弱性により、リモートの攻撃者がDoS(サービス拒否)攻撃を引き起こすことが可能になる。
CVSS 基本スコア:3.7(注意)
CVE-2024-10917
Eclipse OpenJ9 のバージョン0.47までのJNI関数(GetStringUTFLength)は、循環する不正な値を返す可能性がある。またバージョン0.48以降では、値は正しいが、より少ない数の文字に切り捨てられる可能性がある。
CVSS 基本スコア:5.3(警告)
対処法
以下のPTFを適用することにより修正できる。
| IBM i OS | 5770-JV1 PTF 番号 | PTF ダウンロード・リンク |
| 7.5 |
SF99955 Level 13 |
|
| 7.4 |
SF99665 Level 26 |
|
| 7.3 |
SF99725 Level 36 |
https://www.ibm.com/support/pages/uid/nas4SF99725 |
・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7182925
[i Magazine・IS magazine]
