IBMは4月19日(米国時間)、IBM i 7.2~7.5付属のIBM HTTP Server (powered by Apache) に複数の脆弱性があることを発表しました。この問題には、本記事末尾のPTFを当てることで修正できます。CVE番号は、CVE-2022-37436、CVE-2006-20001の2つで、CVSSベーススコアは6.1、5.3(いずれも「警告」)となっています。
CVE-2022-37436の脆弱性は、Apache HTTP Serverのプロキシ/ゲートウェイ機能mod_proxyに対してバックエンド攻撃を仕掛けられると、HTTPレスポンス分割攻撃を受ける恐れがあるというものです。HTTPレスポンス分割攻撃とは、攻撃者が悪意のあるHTTPヘッダーをプロキシサーバーにキャッシュさせておき、そのキャッシュを他のユーザーが参照すると、悪意のあるHTTPファイルを読み込んで有害サイトへ誘導したり、Cookieが盗難される恐れのある攻撃です。
もう1つのCVE-2006-20001の脆弱性は、Apache HTTP ServerのWebDAV(分散オーサリング、バージョン管理)モジュールmod_davに対して、0(ゼロ)バイトの境界外読み取り、または書き込みが行われると、DoS攻撃を受ける恐れがあるというものです。
修正PTFは、以下のとおりです。
◎IBM i 7.5用
SI82700:https://www.ibm.com/support/pages/ptf/SI82700
SI82701 :https://www.ibm.com/support/pages/ptf/SI82701
◎IBM i 7.4用
SI82702:https://www.ibm.com/support/pages/ptf/SI82702
SI82703:https://www.ibm.com/support/pages/ptf/SI82703
◎IBM i 7.3用
SI82704:https://www.ibm.com/support/pages/ptf/SI82704
SI82705:https://www.ibm.com/support/pages/ptf/SI82705
◎IBM i 7.2用
SI82706:https://www.ibm.com/support/pages/ptf/SI82706
SI82707:https://www.ibm.com/support/pages/ptf/SI82707
◎ IBMの発表「Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to HTTP response splitting and denial of service attacks (CVE-2022-37436, CVE-2006-20001)」(英語)
https://www.ibm.com/support/pages/node/6984745
[iS Technoport]
