IBMは12月12日、IBM i Access Client Solutions(ACS)に複数の脆弱性があり、遠隔からコードを実行される恐れがある、と発表した。
影響を受けるACSのバージョンは、
・IBM i Accessファミリー 1.1.2~1.1.4
・IBM i Accessファミリー 1.1.4.3~1.1.9.3
以下の脆弱性が指摘されている。
CVE-2023-45184
IBM i ACSには不適切な権限チェックにより攻撃者に復号鍵を取得される恐れがある。
CVSSスコア:6.2(警告)
CVE-2023-45182
IBM i ACSには、暗号化したパスワードのキーを解読される脆弱性があり、攻撃者はこの脆弱性を悪用することにより他システムのパスワードを取得できる。
CVSSスコア:7.1(重要)
CVE-2023-45185
IBM i ACSには、不適切な権限チェックにより、攻撃者によってユーザー権限でPCを操作される脆弱性がある。遠隔からコードを実行される恐れがある。
CVSSスコア:7.4(重要)
対処法
IBM i ACSバージョン 1.1.9.4以降にアップグレードすることにより解決できる。
ACSバージョン | 最新版ダウンロード サイト |
ACS 1.1.2 ~1.1.4 ACS1.1.4.3 – 1.1.9.3 |
最新版 https://www.ibm.com/resources/mrs/assets?source=swg-ia Entitled Systems Support (ESS) https://www.ibm.com/servers/eserver/ess/landing/index.html |
・Security Bulletin: IBM i Access Client Solutions is vulnerable to remote code execution and failing to secure passwords due to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7091942
[i Magazine・IS magazine]