IBM は、コードが一部のシステムを破壊したことを受けて、WebSphere Application Server の重大なセキュリティ脆弱性に対するパッチを撤回しました。
今週、IBMは、プラットフォームのバージョン9.0、8.5、8.0、7.0に存在するリモートコード実行の脆弱性CVE-2018-1567に対する新たな修正に取り組んでいると発表しました。この脆弱性はCVSSベーススコア9.8(緊急)と評価されていますが、これらのスコアは極めて主観的なものであり、個々の危険度はサーバー構成やネットワーク防御などの要因によって異なります。
IBMによると、この脆弱性により、攻撃者はSOAPコネクタポートを介して脆弱なWebアプリケーションサーバー上でJavaコードをリモートで実行できる可能性があるとのことです。このバグは9月5日に修正プログラムのダウンロードとインストールを開始したことで修正されました。
マイクロソフト、Windows 10 2018年10月アップデートから有害ファイル削除バグを削除
続きを読む
残念ながら、このパッチは問題を引き起こしており、IBMはソフトウェアのリリースから1ヶ月以上経った水曜日に修正を撤回せざるを得ませんでした。IBMは、パッチが撤回されたのは「リグレッションのため」だと述べています。これは、パッチがシステムを混乱させていたことを言い換えたものです。
IBMは顧客に対し、「PI95973のセキュリティ修正プログラムをインストールした後に障害が発生する可能性があります。この修正プログラムは開発チームによる修正作業中に削除されました。」と伝えています。
IBMは更新パッチのリリース時期を明らかにしなかったため、一部の管理者は脆弱性を放置するかクラッシュのリスクを負うかという難しい立場に立たされています。鋭い観察眼を持つ読者からの情報を受け、ニューヨークに拠点を置くこのIT大手に詳細を問い合わせました。パッチなどで何かおかしな点に気づいた方は、ぜひお知らせください。
ビッグブルーの言い分としては、安定性に懸念があると判明したセキュリティパッチの適用を中止せざるを得なくなったのは、今回が初めてではない。マイクロソフトは定期的にこのような対応を取らざるを得ない。実際、今週のパッチチューズデーのアップデートをインストールしたHPのユーザーが、ブルースクリーンのクラッシュに悩まされているという情報が本日明らかになった。®
