12IBMは1月3日、IBM Db2 Web Query for iに多種類の脆弱性があり、セキュリティ制限を回避し任意のコードを実行されたり、機密情報を取得される恐れがある、と発表した。8種類の脆弱性が一度に発表され、CVSSスコアで「9.8」(緊急)という最高レベルのアラートが発せられている。
脆弱性をもつIBM Db2 Web Query for iのバージョンは
・IBM Db2 Web Query for i 2.4.0
で、IBM i 7.5とIBM i 7.4で稼働する。
CVEID:8種類の脆弱性
CVEIDは以下のとおり。
・CVE-2023-20862(CVSS基本スコア:7.5)
・CVE-2017-15708(CVSS基本スコア:9.8)
・CVE-2023-24998(CVSS基本スコア:7.5)
・CVE-2023-20860(CVSS基本スコア:9.1)
・CVE-2023-1370 (CVSS基本スコア:7.5)
・CVE-2022-41946(CVSS基本スコア:6.1)
・CVE-2023-20861(CVSS基本スコア:5.3)
・CVE-2023-20863(CVSS基本スコア:7.5)
以下の脆弱性が指摘されている。
IBM Db2 Web Query for i 2.4.0に使用されているWebFOCUSの複数のコンポーネントに以下の脆弱性がある。
●リモートの攻撃者によりセキュリティ制限を回避される脆弱性 (CVE-2023-20860、CVE-2023-20862)
●リモートの攻撃者によりシステム上での任意のコードの実行される脆弱性 (CVE-2017-15708)
●DoS(サービス拒否)攻撃を受ける脆弱性 (CVE-2023-1370、CVE-2023-20861、CVE-2023-20863、CVE-2023-24998)
●ローカルの認証済み攻撃者により機密情報を取得される脆弱性 (CVE-2022-41946)
対処法
以下のPTFを適用することにより修正できる。
| バージョン | IBM i OS | グループPTF番号 |
| IBM Db2 Web Query for i 2.4.0 |
・IBM i 7.5 ・IBM i 7.4 |
◎IBMのセキュリティ・アラート
Security Bulletin: IBM Db2 Web Query for i is vulnerable to a remote attacker bypassing security restrictions or executing arbitrary code, to a local authenticated attacker obtaining sensitive information, or to denial of service.
https://www.ibm.com/support/pages/node/7105215
[i Magazine・IS magazine]
