IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220
2025年2月12日
サマリー
IBM i には、脆弱性の詳細セクションで説明されているように、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。この記事では、対処法セクションに記載されているように、脆弱性に対処するための手順を特定しています。
脆弱性の詳細
CVEID:CCVE-2024-52895
説明:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。 特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。
CVSSベーススコア:6.5
対象となる製品
| 影響を受ける製品 | バージョン |
|---|---|
| IBM i | 7.5 |
| IBM i | 7.4 |
対処法
IBM iのリリース7.5、および7.4が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。
https://www.ibm.com/support/fixcentral/
詳細/原文
Security Bulletin: IBM i is vulnerable to a database access denial of service caused by a database capabilities bypass restriction check [CVE-2024-52895].
https://www.ibm.com/support/pages/node/7183052
2025年2月10日
サマリー
IBM i で使用されている IBM® SDK Java™ Technology Edition および IBM® Runtime Environment Java™ には、脆弱性の詳細セクションで説明されているように、認証されていない攻撃者が部分的なサービス拒否 (部分的な DOS) [CVE-2024-21208, CVE-2024-21217] を実行する、および JNI 関数 GetStringUTFLength がラップされたときに不正な値の長さを返す [CVE-2024-10917] という脆弱性があります。 本脆弱性情報では、対処法のセクションに記載されているように、脆弱性に対処するための手順を特定しています。
脆弱性の詳細
CVEID:CCVE-2024-21217
説明:Java SE (コンポーネント: Serialization) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7
CVEID:CCVE-2024-21208
説明:Java SE (コンポーネント: ネットワーキング) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7
CVEID:CCVE-2024-10917
説明:Eclipse OpenJ9 の 0.47 までのバージョンでは、JNI 関数の GetStringUTFLength が回り込んだ不正な値を返すことがありました。 0.48 以降では、値は正しいのですが、より少ない文字数を含むように切り捨てられることがあります。
CVSSベーススコア:5.3
対象となる製品
| 影響を受ける製品 | バージョン |
|---|---|
| IBM i | 7.5 |
| IBM i | 7.4 |
| IBM i | 7.3 |
対処法
この脆弱性は、最新のJava PTF Groupを適用することで修正できます。 IBM iのリリース7.5、7.4、および7.3が修正されます。 IBM i PTF Groupの番号には、脆弱性の修正が含まれています。 Javaの今後のPTFグループにも脆弱性の修正が含まれる予定です。
| IBM i リリース |
5770-JV1 PTFグループ番号とレベル | PTF ダウンロードリンク |
|---|---|---|
| 7.5 | SF99955 Level 13 | https://www.ibm.com/support/pages/uid/nas4SF99955 |
| 7.4 | SSF99665 Level 26 | https://www.ibm.com/support/pages/uid/nas4SF99665 |
| 7.3 | SF99725 Level 36 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
https://www.ibm.com/support/fixcentral/
IBM i用の最新のJava情報については、以下のURLのJavaドキュメントを参照してください:
https://www.ibm.com/support/pages/java-ibm-i
この製品とともに提供される IBM Java ランタイムを使用して独自の Java コードを実行する場合は、コードを評価して、Java の追加の脆弱性がコードに適用されるかどうかを判断する必要があります。
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。
詳細/原文
Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7182925
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。