IBM i 関連の脆弱性情報サマリー(Log4j以外)を随時お知らせします。
Log4j関連の情報についてはこちらをご参照ください。
https://iworldweb.info/column/product/apache_log4j_20211220
2025年2月22日
サマリー
IBM i には、脆弱性の詳細セクションに記載されているように、ネットワークおよびコンパイラのインフラストラクチャにおいて、CL コマンドがライブラリ修飾なしで呼び出されることにより、ユーザーが特権を昇格される脆弱性がありますIBM i には、脆弱性の詳細セクションに記載されているように、プログラムをコンパイルまたはリストアする能力を持つユーザーが、修飾されていないライブラリ呼び出しにより、昇格した特権を得る脆弱性があります。本脆弱性情報では、対処/修正セクションに記載されているように、脆弱性に対処するための手順を示します。
脆弱性の詳細
CVEID:CVE-2024-55898
説明:IBM i では、プログラムをコンパイルまたはリストアする機能を持つユーザーが、修飾されていないライブラリ呼び出しによって昇格した特権を取得できる可能性があります。 悪意のある行為者は、ユーザー制御のコードを管理者権限で実行させることができます。
CVSSベーススコア:8.5
対象となる製品
| 影響を受ける製品 | バージョン |
|---|---|
| IBM i | 7.5 |
| IBM i | 7.4 |
| IBM i | 7.3 |
| IBM i | 7.2 |
対処法
IBM iのリリース7.5、7.4、7.3および7.2が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。
https://www.ibm.com/support/fixcentral/
詳細/原文
Security Bulletin: IBM i is vulnerable to a user gaining elevated privileges due to an unqualified library call [CVE-2024-55898].
https://www.ibm.com/support/pages/node/7183835
2025年2月12日
サマリー
IBM i には、脆弱性の詳細セクションで説明されているように、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。この記事では、対処法セクションに記載されているように、脆弱性に対処するための手順を特定しています。
脆弱性の詳細
CVEID:CCVE-2024-52895
説明:IBM i には、データベース機能制限チェックのバイパスによって引き起こされるデータベースアクセス拒否サービスに対する脆弱性があります。 特権を持つ悪意のある行為者は、データベースのインフラストラクチャ・ファイルを削除したり、その他の方法で影響を与えたりすることができ、その結果、データベースに依存するソフトウェア製品の動作が不正になります。
CVSSベーススコア:6.5
対象となる製品
| 影響を受ける製品 | バージョン |
|---|---|
| IBM i | 7.5 |
| IBM i | 7.4 |
対処法
IBM iのリリース7.5、および7.4が修正されます。 IBM i 5770-SS1のPTF番号には脆弱性の修正が含まれています。
https://www.ibm.com/support/fixcentral/
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。
詳細/原文
Security Bulletin: IBM i is vulnerable to a database access denial of service caused by a database capabilities bypass restriction check [CVE-2024-52895].
https://www.ibm.com/support/pages/node/7183052
2025年2月10日
サマリー
IBM i で使用されている IBM® SDK Java™ Technology Edition および IBM® Runtime Environment Java™ には、脆弱性の詳細セクションで説明されているように、認証されていない攻撃者が部分的なサービス拒否 (部分的な DOS) [CVE-2024-21208, CVE-2024-21217] を実行する、および JNI 関数 GetStringUTFLength がラップされたときに不正な値の長さを返す [CVE-2024-10917] という脆弱性があります。 本脆弱性情報では、対処法のセクションに記載されているように、脆弱性に対処するための手順を特定しています。
脆弱性の詳細
CVEID:CCVE-2024-21217
説明:Java SE (コンポーネント: Serialization) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7
CVEID:CCVE-2024-21208
説明:Java SE (コンポーネント: ネットワーキング) の脆弱性。 悪用が困難な脆弱性により、複数のプロトコルを介してネットワークにアクセスできる未認証の攻撃者が、Java SE を侵害する可能性があります。 この脆弱性の攻撃に成功すると、無許可で部分的なサービス拒否 (partial DOS) を引き起こす可能性があります。
CVSSベーススコア:3.7
CVEID:CCVE-2024-10917
説明:Eclipse OpenJ9 の 0.47 までのバージョンでは、JNI 関数の GetStringUTFLength が回り込んだ不正な値を返すことがありました。 0.48 以降では、値は正しいのですが、より少ない文字数を含むように切り捨てられることがあります。
CVSSベーススコア:5.3
対象となる製品
| 影響を受ける製品 | バージョン |
|---|---|
| IBM i | 7.5 |
| IBM i | 7.4 |
| IBM i | 7.3 |
対処法
この脆弱性は、最新のJava PTF Groupを適用することで修正できます。 IBM iのリリース7.5、7.4、および7.3が修正されます。 IBM i PTF Groupの番号には、脆弱性の修正が含まれています。 Javaの今後のPTFグループにも脆弱性の修正が含まれる予定です。
| IBM i リリース |
5770-JV1 PTFグループ番号とレベル | PTF ダウンロードリンク |
|---|---|---|
| 7.5 | SF99955 Level 13 | https://www.ibm.com/support/pages/uid/nas4SF99955 |
| 7.4 | SSF99665 Level 26 | https://www.ibm.com/support/pages/uid/nas4SF99665 |
| 7.3 | SF99725 Level 36 | https://www.ibm.com/support/pages/uid/nas4SF99725 |
https://www.ibm.com/support/fixcentral/
IBM i用の最新のJava情報については、以下のURLのJavaドキュメントを参照してください:
https://www.ibm.com/support/pages/java-ibm-i
この製品とともに提供される IBM Java ランタイムを使用して独自の Java コードを実行する場合は、コードを評価して、Java の追加の脆弱性がコードに適用されるかどうかを判断する必要があります。
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。
詳細/原文
Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to a partial denial of service and a JNI function returning incorrect value length due to multiple vulnerabilities.
https://www.ibm.com/support/pages/node/7182925
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。