Migaro. 技術Tips

                       

ミガロ. 製品の技術情報
IBMiの活用に役立つ情報を掲載!


CVE-2022-37436,CVE-2006-20001 IBM HTTP Server for IBMi 脆弱性

IBMi用のIBM HTTP Serverで脆弱性が見つかりました。(CVE-2002-37436 , CVE-2006-20001)、WebDAVとProxyModuleを使用する場合に影響があります。
Tipsでは弊社製品への影響と、回避方法をまとめています。

CVE-2022-37436,CVE-2006-20001について

IBMのサイトにて、IBMi用IBM HTTP Server(powered by Apache)に CVE-2022-37436,CVE-2006-20001の脆弱性があることが公開されました。

詳細やPTFについては以下のIBMサイトにまとめられています。

■Security Bulletin: IBM HTTP Server (powered by Apache) for IBM i is vulnerable to HTTP response splitting and denial of service attacks (CVE-2022-37436, CVE-2006-20001)
https://www.ibm.com/support/pages/node/6984745 

CVE-2022-37436の概要

mod_proxyを読み込んでいる環境で影響のある可能性があります。
HTTPレスポンス分割攻撃にて、proxyサーバーのキャッシュにレスポンスヘッダーを埋め込むことで、proxyサーバーのキャッシュを読み込んだユーザーは悪意のあるサイトへの誘導、cookieを盗難される危険性があります。 

CVE-2006-20001の概要

mod_davを読み込んでいる環境で影響のある可能性があります。
IBM HTTP Server のWebDAV機能を使用している場合、悪意のあるリクエストヘッダーをサーバーに送信することで、メモリの読み取り、または単一のゼロバイトの書き込みが発生する可能性があります。これにより、サーバーのプロセスがクラッシュする危険性があります。 

弊社製品への影響

Valence

Valence CVE-2006-20001の影響

Valence製品については、WebDAVを使用していないため、CVE-2006-20001の影響はございません。 

Valence CVE-2022-37436の影響

Valence6.0以降では影響ございません。
Valence5.2 以下のバージョンをご使用頂いている場合には mod_proxyモジュールを読み込んでいるため、CVE-2022-37436の影響を受けます。
そのため、PTFを適用頂くか、設定を変更してmod_proxyモジュールを読み込まないようにすることでCVE-2022-37436の問題を回避頂けますでしょうか。 

SmartPad4i (Cobos4i)

SmartPad4i (Cobos4i) CVE-2006-20001、CVE-2022-37436

影響ございません。
SmartPad4i製品自体は、サーバーの環境にIBM HTTP Server+ WebSphere Application Serverを使用していますが、mod_proxy , mod_dav を有効に設定することは通常ございません。

任意で設定を変更頂いている場合には、PTFを適用頂けますでしょうか。 

Valence5.2以下をご使用中の場合の回避方法

Valence5.X系では、mod_proxy関連モジュールを読み込まないように設定することでCVE-2022-37436を回避することができます。
以下の手順で設定を変更ください。 

IBM Web Administration for i にアクセス

IBMiユーザープロファイルでログイン

ブラウザのアドレスバーに以下のアドレスを入力します。

http://IBMi IP Address:2001/HTTPAdmin

「IBMi IP Address」の箇所は、利用しているIBMiのアドレスに合わせて変更してください。
上記アドレスにアクセスできない場合は、IBMi上でサービスが停止している可能性があります。
その場合は、以下コマンドでサービスを起動してください。

STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN)

http://IBMi IP Address:2001/HTTPAdminにアクセスすると、認証のダイアログが表示されます。Web関連サーバーを操作できる権限を持つユーザープロファイルを利用してログインしてください。 

構成ファイルの編集

構成ファイルの編集1

「IBM Web Administartion for i」にログイン後、「管理」タブ > 「HTTPサーバー」タブ を選択後、サーバープルダウンから「VALENCE52」系のサーバーを選択します。
選択後、左側のメニューに表示される「構成ファイルの編集」をクリックしてください。

構成ファイルの編集2

構成ファイルの編集画面では、「LoadModule proxy_*_module」の先頭に#を追加してコメントアウトします。
設定後、「OK」ボタンを押下して設定を保存してください。
Valence(Webサーバー)を再起動後に設定が反映されます。

 

 

Migaro.技術Tips一覧へ

 

株式会社ミガロ.

© 2024 MIGARO CO.,LTD.