IBMは5月31日、IBM Power8・Power9・Power10のPowerVMのSRIOV仮想機能(VF、仮想マシン間のデータ保護機能)に脆弱性があり、他LPARのVFにDoS(サービス拒否)攻撃やLPAR上のデータを破壊される恐れがある、と発表した。
5月17日既報の「Logical Partition Handler」の脆弱性とは異なるタイプの脆弱性で、IBMはPowerマシンのモデルごとに修正ファームウェアの適用を推奨している。
***本記事に対して、日本IBMより「今回の脆弱性は、Power8・Power9・Power10でPowerVMをご利用中のすべてのお客様にリスクが高いのでなく、ごく限定的な範囲に限られます」という趣旨のコメントがありました。本記事への注釈としてご紹介します。
CVE-2023-30440
CVSSベーススコア:6.7(警告)
今回の脆弱性をもつPowerVM Hypervisorのバージョンは以下のとおり。
・FW860.00 ~ FW860.B1
・FW950.00 ~ FW950.70
・FW1010.00 ~ FW1010.50
・FW1020.00 ~ FW1020.30
・FW1030.00 ~ FW1030.10
影響を受けるPowerの各モデルと修正ファームウェアは以下のとおり。
◎Power8
・修正ファームウェア:FW860.B3(860_245)以降
・Power S812 (8284-21A)
・Power S812L( 8247-21L)
・Power S814 (8286-41A)
・Power S822 (8284-22A)
・Power S822L(8247-22L)
・Power S824 (8286-42A)
・Power S824L(8247-42L)
・Power E850 (8408-E8E)
・Power E850C (8408-44E)
・Power E870 (9119-MME)
・Power E880(9119-MHE)
・Power E870C (9080-MME)
・Power E880C (9080-MHE)
◎Power9
・修正ファームウェア:FW950.71(950_124)以降
・Power S914 (9009-41A、9009-41G)
・Power S922 (9009-22A、9009-22G)
・Power H922 (9223-22H、9223-22S)
・Power L922 (9008-22L)
・Power S924 (9009-42A、9009-42G)
・Power H924 (9223-42H、9223-42S)
・Power E950(9040-MR9)
・Power E980 (9080-M9S)
◎Power10
・修正ファームウェア:FW1020.31(1020_102)、FW1030.11(1030_058)以降
・Power S1014 (9105-41B)
・Power S1022 (9105-22A)
・Power S1024 (9105-42A)
・Power S1022s (9105-22B)
・Power L1022 (9786-22H)
・Power L1024 (9786-42H)
・Power E1050 (9043-MRX)
◎Power10:E1080
・修正ファームウェア:FW1010.51(1010_159)、FW1030.11(1030_052)以降
・Power E1080 (9080-HEX)
・Security Bulletin: This Power System update is being released to address CVE 2023-30440
https://www.ibm.com/support/pages/node/6997133
・IBM Security Bulletins
https://www.ibm.com/blogs/psirt/category/severity-critical/
[i Magazine・IS magazine]