IBM、iAcess for Windows 7.1のセキュリティー欠陥にPTFをリリース
IBMはiAcess for Windows 7.1にセキュリティーの脆弱性が有ることを明らかにしました。サイバー犯罪者がiAcessソフトウエアを稼働させているWindows PCを制御する可能性があり、またサービス妨害の攻撃を仕掛ける危険性あります。IBMはこれらの欠陥にPTFを提供しています。
IBMはこのセキュリティー欠陥の詳細をSecurity Bulletin N1020996で明らかにしてiAcess for Windows 7.1の欠陥を修復するためのPTFをリリースしていますreleased PTF number SI57907。
なお、CVE-2015-2023と名付けられているバッファオーバーフローの欠陥は上記2種類の欠陥よりもさらに深刻です。この脆弱性を最初に発見してその功績が認められているhyp3rlinxのJohn Pageによれば、この欠陥は高いレベルの重大性がランク付けられています。
Pageが編集しているhyp3rlinxウエブページによれば、このバッファオーバーフローの欠陥はiAccessのCwbrxd.exeサービスに存在しています。このCwbrxd.exeサービスはIBM iサーバーから遠隔コマンドを出してPC上で実行するためのIncoming Remote Command (IRC)機能を使います。「アタッカーはバッファをオーバーフローさせてWindows PC上で任意のコードを実行できる」とPageは説明しています。
注意すべきことは、このバッファオーバオーフローの標的になっているのは(IBM iサーバー自身ではなく)iAccessを稼働させているWindow PCですが、IBM iサーバーへの脅威が無いというわけではありません。IBM iサーバーを中心として種々の機器や複数のコンピュータで構成されているシステム環境では、IBM iシステムのソフトウエアの欠陥よりも、むしろ他のすべての機器に対して重大なセキュリティーの欠陥がもたらされる、とIBM iのセキュリティーのプロたちは忠告しています。
2番目の脆弱性はCVE-2015-7422と呼ばれ、DOS攻撃を実行するアタッカーを招き入れるバッファオーバーフローです。この欠陥は不適切なバウンドチェックによって引き起こされ、アタッカーがバッファをオーバーフローさせてプログラムをクラッシュさせる危険性があります。Pageはこの重大性を中程度とランク付けしています。
不思議なことに、Common Vulnerability and Exposure (CVE)データベースはCVE-2015-2023あるいはCVE-2015-7422のいずれについても詳細が存在しません。
なお、IBMはそのルーツがClient AccessとOperation Navigatorに遡るiAccess製品ラインの減価プロセスに入っており、iAccessのウエブページits iAccess webpageで、iAccess for WindowsのサポートをWindows8.1までで終了する計画を明らかにしています。
IBMはiAccess for WindowsをIBM i Access Client Solutionsにリプレースすることをすべてのユーザーに奨励しています。このACS製品はJaveで開発されており、JVM(Android機器を含む)をインストールできるすべての環境で稼働し、5250エミュレーター、データ転送、プリントアウト、及びコンソールサポートが含まれています。