IBMは、1月3日付けのセキュリティ・アラートで、IBM Db2 Web Query for iにリモートの攻撃者がセキュリティ制限を回避したり任意のコードを実行できる脆弱性がある、と発表しました。この脆弱性により、ローカルの認証済み攻撃者が機密情報を取得する恐れがあるとのことです。
セキュリティ・アラートのレベル(CVSSベーススコア)は「9.8」と、最も緊急に対処が必要とされています。
脆弱性をもつIBM Db2 Web Query for iのバージョンは「2.4.0」で、IBM i 7.5およびIBM i 7.4で稼働します。
IBMでは、PTFの適用を強く推奨しています。
CVEIDは以下のとおりです。
・CVE-2023-20862
・CVE-2017-15708
・CVE-2023-24998
・CVE-2023-20860
・CVE-2023-1370
・CVE-2022-41946
・CVE-2023-20861
・CVE-2023-20863
◎IBMのセキュリティ・アラート
Security Bulletin: IBM Db2 Web Query for i is vulnerable to a remote attacker bypassing security restrictions or executing arbitrary code, to a local authenticated attacker obtaining sensitive information, or to denial of service.
https://www.ibm.com/support/pages/node/7105215
[iS Technoport]
