IBMは10月25日、IBM Powerのフレキシブル・サービス・プロセッサ (FSP) に脆弱性があり、攻撃者がFSPへのサービス特権を取得する恐れがある、と発表した。
FSPは、システムの状態の診断や初期化、構成、ランタイム時のエラー検出と修正を行うファームウェア。これをコントロールするサービス特権を取得されると、システムの正常運用への甚大な脅威になる。脆弱性のレベルとして最高レベルにあたる「9.8」が付けられている。緊急の対応が必要という。
影響を受けるIBM Powerマシンは、以下の各モデル。
・Power 10(E1080)
・Power 9 各モデル
・Power 8 各モデル
CVE-2024-45656
CVSS 基本スコア: 9.8(緊急)
対処法
影響を受けるサーバーファームウェアは、以下のとおりだが、IBMから注釈が出されている。
・FW1060.00 ~ FW1060.10
・FW1050.00 ~ FW1050.21
・FW1030.00 ~ FW1030.61
・FW950.00 ~ FW950.C0
・FW860.00 ~ FW860.B3
◎ IBMの注釈
Power10マシンでは、FW1030、FW1050、FW1060のみがサポートされているが、それ以前のファームウェアを使用している場合には脆弱性が存在する。
Power9マシンでは、FW950のみがサポートされているが、それ以前のファームウェアを使用している場合には脆弱性が存在する。
Power8マシンでは、FW860に緩和策がリリースされているが、それ以前のファームウェアを使用している場合には脆弱性が存在する。
◎ Power 10
・IBM Power System E1080 (9080-HEX)
◎ Power 9
・IBM Power System S914 (9009-41A, 9009-41G)
・IBM Power System S922 (9009-22A, 9009-22G)
・IBM Power System S924 (9009-42A, 9009-42G)
・IBM Power System H922 (9223-22H, 9223-22S)
・IBM Power System H924 (9223-42H, 9223-42S)
・IBM Power System E950 (9040-MR9)
・IBM Power System E980 (9080-M9S)
・IBM Power System L922 (9008-22L)
・IBM ESS 5000 (5105-22E)
◎ Power 8
・IBM Power System S812 (8284-21A)
・IBM Power System S814 (8286-41A)
・IBM Power System S822 (8284-22A)
・IBM Power System S824 (8286-42A)
・IBM Power System E850 (8408-E8E)
・IBM Power System E850C (8408-44E)
・IBM Power System E870 (9119-MME)
・IBM Power System E880 (9119-MHE)
・IBM Power System E870C (9080-MME)
・IBM Power System E880C (9080-MHE)
・IBM Power System S812L (8247-21L)
・IBM Power System S822L (8247-22L)
・IBM Power System S824L (8247-42L)
Security Bulletin: This Power System update is being released to address CVE-2024-45656
https://www.ibm.com/support/pages/node/7174183
[i Magazine・IS magazine]
