MENU

Power10各モデルに脆弱性、Linuxカーネル内の関数を操作すると機密情報を取得できる ~CVE-2022-3435、ベーススコアは4.3(警告)

IBMは2月20日、Power10主要モデルのIPV4接続で脆弱性が生じている、と発表した。Linuxカーネル内のコンポーネント「IPv4 Handler」のファイル「net/ipv4/fib_semantics.c」に含まれる関数「fib_nh_match」の脆弱性で、リモートの認証済み攻撃者はこの関数で境界外読み取りを行い、未知の値で改ざんすると、機密情報を取得できる可能性がある。

CVE番号は、CVE-2022-3435で、ベーススコアは4.3(警告)。

対策として、IBMはファームウェア「FW1020.20」のインストールを推奨している。

対象となるモデルとは、下記のとおり。

・IBM Power System S1014 (9105-41B)
・IBM Power System S1022S (9105-22B)
・IBM Power System S1022 (9105-22A, 9786-22H)
・IBM Power System S1024 (9105-42A, 9786-42H)
・IBM Power System E1050 (9043-MRX)
・IBM Power System L1022 (9786-22H)
・IBM Power System L1024 (9786-42H)

・IBM製品 脆弱性(Critical Severity)ページの該当ページ
https://www.ibm.com/support/pages/node/6956906

[i Magazine・IS magazine]

新着