Critical LDAP Injection Flaw in IBM TXSeries for Multiplatforms
2025/03/02 SecurityOnline — IBM がリリースしたのは、IBM TXSeries for Multiplatforms に同梱されている、Apache Derby パッケージに存在する脆弱性に対処するためのセキュリティ情報である。この脆弱性 CVE-2022-46337 の CVSS スコアは 9.1 と評価されており、きわめて深刻度が高いことを示している。
この脆弱性は、Apache Derby の認証コンポーネントの LDAP インジェクションの欠陥に起因する。この脆弱性を悪用するリモートの攻撃者は、特別に細工したリクエストを送信することで、セキュリティ制限を回避できる可能性を手にする。悪用が成功すると、以下の重大な結果を招く可能性が生じる:
- 機密データの不正表示および破損
- 機密データベースの機能およびプロシジャーの実行
IBM TXSeries for Multiplatforms の、以下のバージョンが影響を受ける:
- IBM TXSeries for Multiplatforms 8.1
- IBM TXSeries for Multiplatforms 8.2
- IBM TXSeries for Multiplatforms 9.1
- IBM TXSeries for Multiplatforms 10.1
すでに IBM は、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、速やかなアップデートである。以下の修正プログラムが提供されている:
- IBM TXSeries for Multiplatforms 8.1/8.2:PSIRT 修正プログラムは、Salesforce スを通じて拡張サポート・ユーザーに提供されている。
- IBM TXSeries for Multiplatforms 9.1/10.1: 修正プログラムは、Fix Central からダウンロードして適用できる。
なお、回避策と緩和策は存在しない。
この脆弱性は、IBM TXSeries for Multiplatforms の影響を受けるバージョンを使用する組織に対して、重大なリスクをもたらす。推奨される修正を可能な限り早急に適用し、潜在的な攻撃やデータ侵害を防ぐ必要がある。
このブログでは初登場の IBM TXSeries for Multiplatforms ですが、IBM のオフィシャル・ページでは、「データセンターでC/C++、COBOL、Java、PL/Iアプリケーションをサポートする分散トランザクション処理ミドルウェア」と紹介されていました。ご利用のチームも多いことかと思います。この脆弱性 CVE-2022-46337 は、CVSS 9.1 と深刻度が高いものですので、アップデートを忘れないよう、お気をつけください。よろしければ、IBM で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.