概要

IBMは、深刻なセキュリティ脆弱性に対処するための緊急セキュリティ公告を発行しました。これらの脆弱性は、IBM Verify Identity Access と IBM Security Verify Access の両方に影響を与えています。

深刻な脆弱性

CVE-2026-1188: Eclipse OMR ポートライブラリのバッファオーバーフロー脆弱性

• CVSSスコア：9.8
• 影響範囲：リモート攻撃者が任意のコードを実行またはサービス拒否を引き起こす可能性がある。

CVE-2026-1346: IBM Security Verify Access Container の権限昇格脆弱性

• CVSSスコア：9.3
• 影響範囲：ローカル認証ユーザーがこの脆弱性を悪用し、rootアクセス権を取得する可能性がある。

CVE-2023-46233: crypto-js ライブラリの暗号化アルゴリズム脆弱性

• CVSSスコア：9.1
• 影響範囲：SHA1 アルゴリズムと単一反復の使用により、パスワード保護や生成された署名が予測可能攻撃や衝突攻撃にさらされる。

セキュリティ制御への直接的な脅威

• CVE-2026-4101: 認証バイパス脆弱性
• CVE-2026-1345: OS コマンドインジェクション脆弱性
• CVE-2026-1343: サーバーサイドリクエストフォージェリー（SSRF）脆弱性
• CVE-2026-2862, CVE-2026-1491: HTTP要求詐称脆弱性

影響を受ける製品とバージョン

• IBM Verify Identity Access (バージョン 11.0 から 11.0.2)
• IBM Verify Identity Access Container (バージョン 11.0 から 11.0.2)
• IBM Security Verify Access (バージョン 10.0 から 10.0.9.1)
• IBM Security Verify Access Container (バージョン 10.0 から 10.0.9.1)

対策と推奨事項

組織は、影響を受ける IBM Verify のバージョンを使用している場合、IBMが提供する最新のセキュリティパッチをすぐに適用することをお勧めします。また、crypto-js バージョン 4.2.0 へのアップデートや、SHA256と少なくとも250,000回の反復を使用して手動で設定することも重要です。

セキュリティパッチが適用されるまでの間、システムモニタリングを定期的に行い、内部認証エンドポイントへのアクセスを制限することで、潜在的な不正アクセスを軽減することが可能です。

---

元記事: https://gbhackers.com/ibm-security-verify-access-flaws/