IBMは5月21日、ライセンス・プログラム製品の「IBM Performance Tools for i」にサイバー攻撃者が特権昇格を得る恐れのある脆弱性が含まれている、と発表した。
影響を受けるIBM i OSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
以下の脆弱性が指摘されている。
ライブラリの資格なしにプログラムが呼び出されることにより、
修飾されていないライブラリの呼び出しにより、ローカル・ユーザーが昇格した特権を取得できる可能性があります。悪意のある行為者は、ユーザが制御するコードを管理者権限で実行させる可能性があります。
CVE-2024-27264
IBM Performance Tools for i 7.2、同7.3、同7.4、同7.5には、修飾されていないライブラリの呼び出しにより、ローカル・ユーザーが特権を得る可能性がある。
CVSSベーススコアは、7.4(重要)。
対処法
以下のPTFを適用することにより修正できる。
・Security Bulletin: IBM i is vulnerable to a local privilege escalation due to an unqualified library call in IBM Performance Tools for i [CVE-2024-27264]
https://www.ibm.com/support/pages/node/7154595?myns=swgother&mynp=OCSWG60&mynp=OCSS9QQS&mynp=OCSSC5L9&mynp=OCSSTS2D&mynp=OCSSB23CE&mync=E&cm_sp=swgother-_-OCSWG60-OCSS9QQS-OCSSC5L9-OCSSTS2D-OCSSB23CE-_-E
[i Magazine・IS magazine]
