개요
IBM 제품군에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2023-20883, CVE-2016-1000027
- IBM Sterling Control Center 6.3.0.0
CVE-2022-46337
- IBM Cloud Pak System 2.3.1.1, 2.3.20, 2.3.3.7 (power) 버전
- IBM Cloud Pak System 2.3.3.0~2.3.3.6 (intel) 버전
CVE-2023-36478, CVE-2023-44487, CVE-2023-41900, CVE-2023-40167, CVE-2023-36479, CVE-2023-34462, CVE-2023-4807, CVE-2023-46849, CVE-2023-46850, CVE-2023-5363
- IBM MaaS360 Cloud Extender Agent 3.000.250.023 이하의 버전
- IBM MaaS360 Mobile Enterprise Gateway 3.000.300 이하의 버전
- IBM MaaS360 VPN 3.000.200 이하의 버전
CVE-2023-45871
- IBM Cloud Object System 3.18.0.21 이하의 버전
해결된 취약점
IBM Sterling Control Center 제품에서 발생하는 Spring Boot의 서비스 거부 및 Spring Framework로 인한 원격 코드 실행 취약점 (CVE-2023-20883, CVE-2016-1000027)
IBM Cloud Pak 제품에서 발생하는 Apache Derby의 인증자의 LDAP 주입으로 인한 보안 제한 우회 취약점 (CVE-2022-46337)
MetaDataBuilder.checkSize의 정수 오버플로 및 버퍼 할당으로 인해 발생하는 서비스 거부 취약점 (CVE-2023-36478)
HTTP/2 프로토콜의 다중 스트림 처리 결함으로 인한 서비스 거부 취약점 (CVE-2023-44487)
LoginService 사용 시, 부적절한 인증 검증으로 인한 보안 제한 우회 취약점 (CVE-2023-41900)
HTTP/1 요청 헤더의 부적절한 구문 분석으로 인해 발생하는 HTTP request smuggling 취약점 (CVE-2023-40167)
org.eclipse.jetty.servlets.CGI Servlet의 잘못된 명령 인용 결함으로 인한 취약점 (CVE-2023-36479)
Netty SniHandler 클래스의 TLS 핸드셰이크 시, 각 채널에 최대 16MB의 힙을 할당하는 결함으로 인한 서비스 거부 취약점 (CVE-2023-34462)
OpenSSL AVX512-IFMA 명령을 지원하는 최신 X86_64 프로세서에서 실행될 때 POLY1305 MAC(메시지 인증 코드) 구현의 상태 손상 결함으로 인해 발생하는 서비스 거부 취약점 (CVE-2023-4807)
OpenVPN zero flaw로 인한 서비스 거부에 취약점 (CVE-2023-46849)
OpenVPN use-after-free 결함으로 인한 임의 코드 실행 취약점 (CVE-2023-46850)
OpenSSL을 사용 시, 일부 대칭 암호 초기화 과정 중 잘못된 암호 키와 IV 길이 처리로 인한 중요 정보 노출 취약점 (CVE-2023-5363)
Linux 커널의 drivers/net/ethernet/intel/igb/igb_main.c에서 IGB 드라이버에 의한 부적절한 경계 검사로 인해 발생하는 버퍼 오버플로 취약점 (CVE-2023-45871)
취약점 패치
2024년 2월 5일부터 11일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2023-20883, CVE-2016-1000027
- 6.3.0.0 iFix04 버전
CVE-2022-46337
- IBM Cloud Pak System v2.3.3.6 Interim Fix 2 버전
- Cloud Pak System v2.3.3.7 및 V2.3.3.7 Interim Fix 01 버전
- Cloud Pak System V2.3.3.7 Interim Fix 01 버전
CVE-2023-36478, CVE-2023-44487, CVE-2023-41900, CVE-2023-40167, CVE-2023-36479, CVE-2023-34462, CVE-2023-4807, CVE-2023-46849, CVE-2023-46850, CVE-2023-5363
- IBM MaaS360 Cloud Extender 3.000.300.025 이상의 버전
- IBM MaaS360 Mobile Enterprise Gateway 및 VPN 모듈은 3.000.400 이상의 버전
CVE-2023-45871
- IBM Cloud Object System 3.18.0.40 버전
- IBM Cloud Object System 3.18.1.45 버전
참고 사이트
[1] IBM security advisory (AV24-079)
https://www.cyber.gc.ca/en/alerts-advisories/ibm-security-advisory-av24-079
[2] Security Bulletin: IBM Sterling Control Center vulnerable to denial of service due to Spring Boot and remote code execution due to Spring Framework
https://www.ibm.com/support/pages/node/7116050
[3] Security Bulletin: Vulnerability in Apache Derby affects IBM Cloud Pak System [CVE-2022-46337]
https://www.ibm.com/support/pages/node/7115283\
[4] Security Bulletin: IBM MaaS360 Cloud Extender Agent, Mobile Enterprise Gateway and VPN Module affected by multiple vulnerabilities
https://www.ibm.com/support/pages/node/7115287
[5] Security Bulletin: Vulnerability with Kernel affect IBM Cloud Object Storage Systems (Jan 2024v1)
https://www.ibm.com/support/pages/node/7114810