MENU

Power9・Power10のPowerVMに新規の脆弱性 ~HMCが攻撃を受けると、機密情報を取得される恐れ

IBMは6月9日、IBM Power9・Power10のPowerVMに脆弱性があり、HMCがサイバー攻撃を受けた場合、機密情報を取得される恐れがある、と発表した。

5月17日と6月1日に既報の脆弱性とは異なるタイプの脆弱性で、IBMはPowerマシンのモデルごとに修正ファームウェアの適用を推奨している。

以下の脆弱性が指摘されている。

CVE-2023-25683

IBM Power9およびPower10のPowerVMの機能であるクラッシュレポート機能 (Apport)中のget_starttime() 関数が/proc/pid/statファイルを適切に解析していないため、HMCがサイバー攻撃を受けた場合、機密情報を取得される恐れがある。

CVSSベーススコア:5.9(警告)

今回の脆弱性をもつPowerVM Hypervisorのファームウェアのバージョンは以下のとおり。

・FW950.00 ~ FW950.71
・FW1010.00 ~ FW1010.40
・FW1020.00 ~ FW1020.20
・FW1030.00 ~ FW1030.11

影響を受けるPowerの各モデルと修正ファームウェアは以下のとおり。

◎Power9

・修正ファームウェア:FW950.80 (950_131)以降

・Power S914 (9009-41A、9009-41G)
・Power S922 (9009-22A、9009-22G)
・Power H922 (9223-22H、9223-22S)
・Power L922 (9008-22L)
・Power S924 (9009-42A、9009-42G)
・Power H924 (9223-42H、9223-42S)
・Power E950(9040-MR9)
・Power E980 (9080-M9S)

◎Power10

・修正ファームウェア:FW1020.31(1020_102)、FW1030.20(1030_060) 以降

・Power S1014 (9105-41B)
・Power S1022 (9105-22A)
・Power S1024 (9105-42A)
・Power S1022s (9105-22B)
・Power L1022 (9786-22H)
・Power L1024 (9786-42H)
・Power E1050 (9043-MRX)

◎Power10:E1080

・修正ファームウェア:FW1010.51(1010_163)、FW1030.20(1030_058)以降

・Power E1080 (9080-HEX)

 

・Security Bulletin: This Power System update is being released to address CVE-2023-25683
https://www.ibm.com/support/pages/node/7002721

・IBM Security Bulletins
https://www.ibm.com/blogs/psirt/category/severity-critical/

[i Magazine・IS magazine]