IBMは9月5日、IBM i Merlin(Modernization Engine for Lifecycle Integration)にGo言語に起因する複数の脆弱性がある、と発表した。クロスサイトスクリプティング(XSS攻撃)やDoS(サービス拒否)攻撃、攻撃者がシステム上のディレクトリをトラバースする可能性などが指摘されている。
影響を受けるバージョンは、
・IBM i Merlin 1.0~1.4.8
・IBM i Merlin 2.0~2.0.2
以下の脆弱性が指摘されている。
CVE-2022-30636
Go言語は、メモリへのキャッシュの配置を決定するDirCacheの欠陥により、リモートの攻撃者がシステム上のディレクトリをトラバース(横断的に探索・処理)する可能性があり、その結果を基に悪意のあるURLを送信することで、システム上の任意のファイルを閲覧可能になる。
CVSS基本スコア:7.5(重要)
CVE-2023-3978
Go言語のhtmlパッケージには、クロスサイトスクリプティング(XSS攻撃)を受ける脆弱性がある。攻撃者が用意したURLをクリックすると、被害者のWebブラウザ上でスクリプトが実行され、被害者のクッキーベースの認証情報を盗むことが可能になる。
CVSS 基本スコア: 6.1(警告)
CVE-2023-45288
Go言語のnet/httpとx/net/http2パッケージには、HTTP/2プロトコルスタックのCONTINUATIONフレームの取り扱い不備によるメモリ枯渇の欠陥があり、DoS(サービス拒否)攻撃を受ける脆弱性がある。
CVSS基本スコア:7.5(重要)
対処法
脆弱性対策済みのバージョンへアップグレードすることにより対処できる。
| 脆弱性のあるバージョン | 修正済みバージョン | |
| IBM i Merlin 1.0~1.4.8 | IBM i Merlin 1.4.9 | |
| IBM i Merlin 2.0~2.0.2 | ★IBMサイトの情報が不正確と思われるため、後日、追記します。 |
・Security Bulletin: IBM i Modernization Engine for Lifecycle Integration is vulnerable to multiple vulnerabilities https://www.ibm.com/support/pages/node/7167594
[i Magazine・IS magazine]
