MENU

IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」

IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表した。CVE番号は、CVE-2022-43928。CVSSベーススコアは4.9で「警告」。

IBM Db2 Web Queryは、IBM Toolbox for JavaのJava文字列を使用して、IBM iのインターフェースにアクセスする。Java文字列はメモリ上に展開されるとガベージコレクションが実行されるまでメモリ上に存在する。そのとき、機密データもメモリ上に展開されていると窃取される可能性がある。IBMでは、機密データがメモリ上に表示される時間を短縮することで、この問題に対処したという。

対象となるIBM Db2 Web Query for iのバージョンは以下のとおり。

・IBM Db2 Web Query for i 2.3.0(IBM i 7.3、7.4、7.5で稼働)
・IBM Db2 Web Query for i 2.4.0(IBM i 7.4、7.5で稼働)

この脆弱性には、以下のPTFをあてることで対処できる。

・IBM Db2 Web Query for i 2.3.0(IBM i 7.3)→ SF99722-43
・IBM Db2 Web Query for i 2.3.0(IBM i 7.4)→ SF99662-26
・IBM Db2 Web Query for i 2.3.0(IBM i 7.5)→ SF99952-06

・IBM Db2 Web Query for i 2.4.0(IBM i 7.4)→ SF99662-26
・IBM Db2 Web Query for i 2.4.0(IBM i 7.5)→ SF99952-06

IBM Security Bulletinsの記事 
https://www.ibm.com/support/pages/node/6967365

[i Magazine・IS magazine]