IBM i Access Client SolutionsをWindows上で実行している場合、DLLハイジャックされる脆弱性がある、とIBMは発表した(11月18日)。
対象となるIBM i Access Client Solutions(以下、ACS)のバージョンは、1.1.2~1.1.4、および1.1.4.3~1.1.9.0。
CVEスコアによる深刻度は7.2(重要)で、CVE番号は「CVE-2022-40746」が割り当てられている。
DLL(Dynamic Linking Library)ハイジャックとは、OSのプログラム実行順序を不正に操作し、不正なDLLを実行する攻撃手法。この攻撃により、「攻撃者は脆弱性を悪用して、システム上で任意のコードを実行することができる」と、IBM X-Forceは警告を発している。
対処法はACS バージョン1.1.9.1(5770-XJ1)以降へのアップグレードで、IBMでは「ACS 1.1.9.1に修正を提供することにより、この脆弱性に対処した」としている。
ACS 1.1.9.1は、2022年10月11日発表のIBM i 7.5 TR1で登場したバージョンで、10月11日の製品発表レターでは「12月2日より利用可能」となっている。12月1日までは“空白期間”で、ACSユーザーは注意が必要になりそうだ。
・Security Bulletin: IBM i Access Client Solutions
https://www.ibm.com/support/pages/node/6840359
・IBM X-Forceデータベース
https://exchange.xforce.ibmcloud.com/vulnerabilities/236581
・CVE-2022-40746
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40746
[i Magazine・IS magazine]