IBM i 7.3~7.5対応で稼働するIBM Db2 Web Query for iに脆弱性 ~IBMは対応PTFを強く推奨

IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表した。CVE番号は、CVE-2022-43928。CVSSベーススコアは4.9で「警告」。

IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」

IBMは3月30日、IBM Db2 Web Query for iは、IBM Toolbox for JavaのJava文字列の処理に起因する脆弱性により、攻撃者が機密情報を取得する恐れがある、と発表しました。

脆弱性のあるIBM Db2 Web Query for iのバージョンは「2.3.0」と「2.4.0」で、2.3.0はIBM i 7.3、7.4、7.5の各OSバージョン、2.4.0はIBM i 7.4と7.5で稼働します。

CVE番号はCVE-2022-43928。CVSSベーススコアは4.9で、「警告」レベルとなっています。

IBM Db2 Web Queryは、IBM iのインターフェースにアクセスする際、IBM Toolbox for JavaのJava文字列を使用します。このJava文字列はメモリ上に展開されるとガベージコレクションが実行されるまで、メモリ上に存在します。このとき、メモリ上に機密データも展開されていると窃取される可能性があるということです。IBMでは、機密データがメモリ上に表示される時間を短縮することで、この問題に対処したとしています。

対処法としては、以下のPTFをあてることが推奨されています。

・IBM Db2 Web Query for i 2.3.0(IBM i 7.3)→PTF番号:SF99722-43
・IBM Db2 Web Query for i 2.3.0(IBM i 7.4)→PTF番号:SF99662-26
・IBM Db2 Web Query for i 2.3.0(IBM i 7.5)→PTF番号:SF99952-06

・IBM Db2 Web Query for i 2.4.0(IBM i 7.4)→PTF番号: SF99662-26
・IBM Db2 Web Query for i 2.4.0(IBM i 7.5)→PTF番号: SF99952-06

IBM Security Bulletinsの記事 
https://www.ibm.com/support/pages/node/6967365

[iS Technoport]

製品資料をダウンロード!