IBMは7月28日(米国時間)、脆弱性報告ページ「Security Bulletin」で、IBM HTTP Server(powered by Apache)for IBM iに脆弱性があることを公表した。
CVE-2022-28615、CVE-2022-28614、CVE-2022-31813の3種類の脆弱性を指摘している。
影響を受けるOSバージョンは下記のとおり。
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
CVE-2022-28615
Apache HTTP Serverにおいて、きわめて大きな入力バッファを関数 ap_strcmp_match() に渡して境界外のデータを読ませることにより、機密情報を不正に取得される可能性がある。また攻撃者はこの脆弱性を悪用して、クラッシュや情報漏えいを引き起こす可能性がある、としている。
CVSSの深刻度は、「警告」レベルの6.5。
![[参考]CVSS v3の深刻度のレベル分け](https://www.imagazine.co.jp/wp-content/uploads/2022/07/CVCC-score.png)
CVE-2022-28614
Apache HTTP Serverの関数 ap_rwrite() のエラーにより、リモートの攻撃者に機密情報を取得される可能性がある。関数 mod_luas r:puts() などの ap_rwrite() や ap_rputs() を使って非常に大きな入力を反映させることにより、攻撃者は意図しないメモリを読み取る可能性がある。
CVSSの深刻度は、「警告」レベルの5.3。
CVE-2022-31813
Apache HTTP Serverにおいて、クライアントからコンテンツを配置するオリジンサーバーへアクセスする際、以下の状況で脆弱性が発生する。
クライアント側のConnectionヘッダーの接続制御(ホップ・バイ・ホップ)に基づきオリジンサーバーへアクセスする際、HTTPヘッダーフィールドの1つであるX-Forwarded-* ヘッダーの送信失敗により、遠隔地の攻撃者はセキュリティ制限を回避することが可能になる。攻撃者は、この脆弱性を利用して、オリジンサーバーやアプリケーションのIPベースの認証を回避できる。
CVSSの深刻度は、「警告」レベルの5.3。
対処法/修正方法
各IBM i(OS)へのPTFの適用により修正できる。
・IBM i 7.5 PTF番号 SI80337 *PTFダウンロードはこちら
・IBM i 7.4 PTF番号 SI80353 *PTFダウンロードはこちら
・IBM i 7.3 PTF番号 SI80354 *PTFダウンロードはこちら
・IBM i 7.2 PTF番号 SI80355 *PTFダウンロードはこちら
・Security Bulletin: IBM i向けのIBM HTTP Server (powered by Apache) には、複数の脆弱性が存在し、セキュリティ制限を回避して機密情報を取得することが可能(英語)
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-http-server-powered-by-apache-for-ibm-i-is-vulnerable-to-bypass-security-restrictions-and-obtain-sensitive-information-due-to-multiple-vulnerabilities/
・上記の詳細説明
https://www.ibm.com/support/pages/node/6607876
・IBM HTTP Server – Powered by Apacheページ
https://www.ibm.com/docs/ja/ibm-http-server/9.0.5?topic=SSEQTJ_9.0.5/com.ibm.websphere.ihs.doc/ihs/welcome_ihs.html
・IBM HTTP Server for i (5770DG1)
https://www.ibm.com/docs/ja/i/7.5?topic=programs-http-server-i-5770dg1
・IPA「共通脆弱性評価システムCVSS v3概説」*CVSSについて解説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
[i Magazine・IS magazine]
