MENU

IBM Managed System Services for iとIBM System Management for iに脆弱性、特権昇格の恐れ ~CVE-2024-38330、CVSS 基本スコアは7(重要)

IBMは7月3日、IBM Managed System Services for iとIBM System Management for i に脆弱性があり、ローカルユーザーが特定のないライブラリ呼び出しを行うことによって特権を得る恐れがある、と発表した。これにより攻撃者は、ユーザが制御するコードを管理者権限で実行することが可能になる。

影響を受けるIBM i OSバージョンは、

IBM i 7.4
IBM i 7.3
IBM i 7.2

なお、IBM i 7.5のIBM Managed System Services for i (5770SM1) およびIBM System Management for i (5770MG1) は2024年3月4日に営業活動が終了となっている。サブセットをXPFに移行する予定としている。

CVE-2024-38330

CVSS 基本スコア:7(重要)

対処法

以下のPTFを適用することにより修正できる。

◎5770-MG1

IBM i OSバージョン  PTF番号  ダウンロード・リンク
7.4

SJ01170

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01170
7.3

SJ01174

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01174
7.2

SJ01175

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01175

◎5770-SM1

IBM i OSバージョン  PTF番号  ダウンロード・リンク
7.4

SJ01325

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01325
7.3

SJ01324

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01324
7.2

SJ01323

https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01323

・Security Bulletin: IBM Managed System Services for i and IBM System Management for i are vulnerable to a local user gaining elevated privilege due to unqualified library calls [CVE-2024-38330].
https://www.ibm.com/support/pages/node/7159615

[i Magazine・IS magazine]