IBMは7月5日、サイバー攻撃者がDDMアーキテクチャの脆弱性を突き、さまざまなCLコマンドを実行する恐れがある、と発表しました。CVE番号は、CVE-2023-30990。同様の内容の警告は、6月30日にも発表していますが、7月5日の発表は、脆弱性を発見したベンダーが「技術的詳細」を公表したのを受けて、改めて発表したものです。
同脆弱性は、ページを一覧表示するための外部Wikiメソッドにおいて、ユーザーから提供されたデータのサニタイズ機能(テキスト上の「&」や「>」などの特殊文字を一般的な文字列に変換する処理)が不十分なために生ずる脆弱性で、Webサイトに設置された入力フォームなどから、悪意のあるスクリプトコードが入力されると、さまざまな被害にあう恐れがあります。
この脆弱性を最初に発見しIBMに通報したベンダーは、「認証なしで任意のCLまたはPASEコマンドをQUSERとして実行される可能性がある」と指摘しています。
同脆弱性は、PTFを適用することにより修正可能です。PTFは下記サイトよりダウンロードできます。
・Security Bulletin: IBM i is vulnerable to an attacker executing CL commands due to an exploitation of DDM architecture (CVE-2023-30990)(英語)
https://www.ibm.com/support/pages/node/7008573
・「CVE-2023-30990の技術的詳細 ~IBM i DDM サービスにおける認証されていないリモートコード実行」
https://blog.silentsignal.eu/2023/07/03/ibm-i-dde-vulnerability-cve-2023-30990/
[iS Technoport]