IBMは7月3日、IBM Managed System Services for iとIBM System Management for i に脆弱性があり、ローカルユーザーが特定のないライブラリ呼び出しを行うことによって特権を得る恐れがある、と発表した。これにより攻撃者は、ユーザが制御するコードを管理者権限で実行することが可能になる。
影響を受けるIBM i OSバージョンは、
IBM i 7.4
IBM i 7.3
IBM i 7.2
なお、IBM i 7.5のIBM Managed System Services for i (5770SM1) およびIBM System Management for i (5770MG1) は2024年3月4日に営業活動が終了となっている。サブセットをXPFに移行する予定としている。
CVE-2024-38330
CVSS 基本スコア:7(重要)
対処法
以下のPTFを適用することにより修正できる。
◎5770-MG1
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.4 |
SJ01170 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01170 |
| 7.3 |
SJ01174 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01174 |
| 7.2 |
SJ01175 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01175 |
◎5770-SM1
| IBM i OSバージョン | PTF番号 | ダウンロード・リンク |
| 7.4 |
SJ01325 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01325 |
| 7.3 |
SJ01324 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01324 |
| 7.2 |
SJ01323 |
https://www.ibm.com/mysupport/s/fix-information?legacy=SJ01323 |
・Security Bulletin: IBM Managed System Services for i and IBM System Management for i are vulnerable to a local user gaining elevated privilege due to unqualified library calls [CVE-2024-38330].
https://www.ibm.com/support/pages/node/7159615
[i Magazine・IS magazine]
