相次ぐIBM iとIBM Powerサーバー関連の脆弱性の発表　～IBMは修正PTFや新しいファームウェアの適用を強く推奨

最近、IBM iとIBM Powerサーバー関連の脆弱性の発表が相次いでいます。この1カ月だけでも、

・5月23日　IBM i用Java
・5月26日　Power用HMC
・5月30日　IBM Db2 Web Query for i
・5月31日　Power8・Power9・Power10のPowerVM

が、IBMから発表されています。そして、そのいずれの脆弱性に対しても、IBMは修正用のPTFやソフトウェア、ファームウェアの適用を強く推奨しています。

IBM i用Javaの脆弱性

5月23日発表のIBM i用Javaの脆弱性は、IBM Java SDKおよびIBM Java Runtime for IBM iのセキュリティ機能と暗号機能に欠陥があり、機密情報の漏洩につながる恐れがある、というものです。

影響を受けるIBM i OSバージョンは、

・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2

で、IT製品のセキュリティ脆弱性の深刻さを評価する「CVSS」（共通脆弱性評価システム、Common Vulnerability Scoring System）のスコアは、7.5（重要）となっています。

修正PTFのダウンロード先などの情報は、下記に明記されています。

・Security Bulletin: IBM Java SDK and IBM Java Runtime for IBM i are vulnerable to exposing sensitive information due to flaws and configurations (CVE-2023-30441).（英語）
https://www.ibm.com/support/pages/node/6997499

Power用HMCの脆弱性

5月26日発表のPower用HMCは、OpenSSLの脆弱性に起因するもので、DoS攻撃や機密情報漏洩の恐れがある、とIBMは警鐘を鳴らしています。この脆弱性も、IBM i 7.2～7.5の各OSバージョンが影響を受けます。

複数の脆弱性があり、CVSSのベーススコアは、7.5（重要）、8.2（重要）などとなっています。修正PTFのダウンロード先などの情報は、下記に明記されています。

・Security Bulletin: Vulnerability in OpenSSL (CVE-2022-4304, CVE-2022-4450, CVE-2023-0215 and CVE-2023-0286 ) affects Power HMC
https://www.ibm.com/support/pages/node/6998707

IBM Db2 Web Query for iの脆弱性

5月30日発表のIBM Db2 Web Query for iの脆弱性は、IBM Db2 Web Query for iのセットアップとGUIで使用する「IBM Toolbox for Java」のJava文字列処理に起因するもので、攻撃者が機密情報を取得する恐れがある、とIBMは発表しています。3月30日にも同じ内容の脆弱性情報を発表している。言わば「再度の警告」です。

影響を受ける製品は以下の2製品で、CVSSベーススコアは4.9（警告）となっています。

・IBM Db2 Web Query for i 7.4（IBM i 7.4で稼働）
・IBM Db2 Web Query for i 7.5（IBM i 7.5で稼働）

修正PTFのダウンロード先などの情報は、下記に明記されています。

・Security Bulletin: IBM Db2 Mirror for i is vulnerable to attacker obtaining sensitive information due to Java string processing in IBM Toolbox for Java (CVE-2022-43928)
https://www.ibm.com/support/pages/node/6981113