IBMは2月29日、Power10マシンで使用されている「バージョン0.8.0.以前のlibtpms(オープンソースライブラリ)」に欠陥があり、TPM 2の実装では、攻撃者に機密情報を取得される恐れがある、と発表した。
影響を受けるPower10マシンは、以下のとおり。
・IBM Power System S1014 (9105-41B)
・IBM Power System S1022 (9105-22A)
・IBM Power System S1022s (9105-22B)
・IBM Power System L1022 (9786-22H)
・IBM Power System S1024 (9105-42A)
・IBM Power System L1024 (9786-42H)
・IBM Power System E1050 (9043-MRX)
・IBM Power System E1080 (9080-HEX)
以下の脆弱性が指摘されている。
CVE-2021-3505
オープンソースライブラリlibtpmsは、TPM 2の実装の問題により攻撃者に機密情報を取得される可能性がある。暗号攻撃技術を利用することで、攻撃者はこの脆弱性を悪用して機密情報を入手し、 さらなる攻撃を仕掛ける可能性がある。
TPM(トラステッドプラットフォームモジュール)とは、プロセッサに搭載されたセキュリティ・デバイス (マイクロコントローラー) 。
CVSSベーススコア:6.2(警告)
対処法
以下のファームウェアを適用することで問題を解決できる。
・Security Bulletin: This Power System update is being released to address CVE-2021-3505
https://www.ibm.com/support/pages/node/7127519
[i Magazine・IS magazine]
