IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表した。CVE番号は、CVE-2022-43928。CVSSベーススコアは4.9で「警告」。
IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」
IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列の処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表しました。
脆弱性のあるIBM Db2 Web Query for iのバージョンは「2.3.0」と「2.4.0」で、2.3.0はIBM i 7.3、7.4、7.5の各OSバージョン、2.4.0はIBM i 7.4と7.5で稼働します。
CVE番号はCVE-2022-43928。CVSSベーススコアは4.9で、「警告」レベルとなっています。
IBM Db2 Web Queryは、IBM iのインターフェースにアクセスする際、IBM Toolbox for JavaのJava文字列を使用します。このJava文字列はメモリ上に展開されるとガベージコレクションが実行されるまで、メモリ上に存在します。このとき、メモリ上に機密データも展開されていると窃取される可能性があるということです。IBMでは、機密データがメモリ上に表示される時間を短縮することで、この問題に対処したとしています。
対処法としては、以下のPTFをあてることが推奨されています。
・IBM Db2 Web Query for i 2.3.0(IBM i 7.3)→PTF番号:SF99722-43
・IBM Db2 Web Query for i 2.3.0(IBM i 7.4)→PTF番号:SF99662-26
・IBM Db2 Web Query for i 2.3.0(IBM i 7.5)→PTF番号:SF99952-06
・IBM Db2 Web Query for i 2.4.0(IBM i 7.4)→PTF番号: SF99662-26
・IBM Db2 Web Query for i 2.4.0(IBM i 7.5)→PTF番号: SF99952-06
IBM Security Bulletinsの記事
https://www.ibm.com/support/pages/node/6967365
[iS Technoport]