MENU

Db2 Web Query for iに特権昇格の脆弱性、yamlデータによる関数の改ざん ~IBMは修正プログラムの適用を強く推奨

IBMは7月17日、Db2 Web Query for iで使用するSnakeYamlに任意のコードを実行される脆弱性がある、と発表した。IBMでは修正プログラムの適用を強く推奨している。

影響を受けるのは、

・IBM Db2 Web Query for i 2.3.0
・IBM Db2 Web Query for i 2.4.0

IBM i OSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3

以下の脆弱性が指摘されている。

CVE-2022-1471

SnakeYamlは、Db2 Web Query(Db2 Web Query for iを含む)で使用するYAMLのパーサーで、Stringなどからyamlデータを読み込み、指定する型(非指定も可能)にパースするライブラリ。SnakeYamlの脆弱性の影響を受けるのは、オブジェクトを作成するためのConstructor関数で、特別に細工されたyamlデータを読み込み改ざんされると、任意のコードを実行することが可能な、特権昇格を突く攻撃を受ける恐れがある。

CVSSベーススコアは、8.3(重要)。

対処法

以下のPTFを適用することにより修正できる。

Db2 Web Query for i
バージョン
IBM i OS PTF ダウンロード
2.3.0 ・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・SF99671 – 09
・SF99654 – 09
・SF99533 – 09
2.4.0   ・SI83837
・SI83838

・Security Bulletin: IBM Db2 Web Query for i is vulnerable to arbitrary code execution due to SnakeYaml [CVE-2022-1471]
https://www.ibm.com/support/pages/node/7013297

[i Magazine・IS magazine]