IBMは12月7日、IBM i Merlin(Modernization Engine for Lifecycle Integration)に複数の脆弱性があり、DoS(サービス拒否)攻撃やHTTPリクエストスマグリング、機密情報の取得を受ける恐れがある、と発表した。
影響を受けるIBM i Merlinのバージョンは、
・IBM i Merlin 1.0.0~1.4.4
で、最初期から直近のバージョンまですべて。
以下の脆弱性が指摘されている。
CVE-2023-44487
IBM i MerlinのHTTP/2プロトコルを用いた多重化ストリームの処理に欠陥があるため、攻撃者によってサーバーのリソース消費を狙ったDoS(サービス拒否)攻撃を受ける恐れがある。
CVSSスコア:7.5(重要)
CVE-2023-5072
JSON-javaには、パーサーにバグがあるため、攻撃者がDoS(サービス拒否)を仕掛けてくる恐れがある。
CVSSスコア:7.5(重要)
CVE-2023-42795
Apache Tomcatには、内部オブジェクトをリサイクルする際に脆弱性があるため(不完全なクリーンアップによる)、 攻撃者に機密情報を取得される恐れがある。攻撃者はリサイクルプロセスの一部をスキップすることで、機密情報を取得可能になる。
CVSSスコア:7.5(重要)
CVE-2023-34981
Apache Tomcatには、レスポンスにHTTPヘッダが設定されていない場合、攻撃者に機密情報を取得される恐れがある。攻撃者は特別に細工されたHTTPリクエストを送信することで機密情報を取得し、 さらなる攻撃を仕掛けること可能になる。
CVSSスコア:7.5(重要)
CVE-2023-41080
Apache Tomcatには、FORM認証機能におけるオープンリダイレクトの脆弱性があるため、 攻撃者はフィッシング攻撃を行う恐れがある。攻撃者は、特別に細工されたURLを使うことにより、被害者を任意のWebサイトにリダイレクトさせることが可能になる。
CVSSスコア:6.5(警告)
CVE-2023-45648
Apache Tomcatには、HTTPトレーラヘッダの脆弱性により、HTTPリクエストが閲覧される恐れがある。攻撃者は、特別に細工された無効なトレーラヘッダを送信することで、クロスサイトスプリング(XSS)攻撃を行うことが可能になる。
CVSSスコア:5.3(警告)
対処法
IBM i Merlinの最新版バージョン1.4.5以降へアップグレードすることにより対処できる。
IBM i Merlin 1.4.5:https://www.ibm.com/docs/en/merlin/1.0?topic=guide-upgrade-merlin-platform-tools
・Security Bulletin: IBM i Modernization Engine for Lifecycle Integration is vulnerable to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7091494
[i Magazine・IS magazine]
