2023年5月18日
Power10およびPower9のPower VMファームウェアに対する脆弱性が発見され、これを修正するファームウェアが公開されました。CVSSベーススコアが9.3 = 緊急となっておりますので、対象となるマシンには至急の対応をお勧めいたします。
※今回はPowerVM環境における脆弱性のため、これがない場合/複数パーティションを作成していない場合は該当しません。
当脆弱性により発生しうる事象と対応
サマリー
Power9 および Power10 の PowerVM に内部的な脆弱性が発見されました。この脆弱性により、特権ユーザーによるLPARへのアクセス権を持つ攻撃者が、LPAR間の分離に対する検出されない違反を実行する可能性があります。これにより、データが漏洩したり、同じ物理サーバー上の他のLPARで任意のコードが実行されたりする恐れがあります。
脆弱性の詳細
CVEID: CVE-2023-30438
説明:IBM PowerVMにおいて、パーティション間の分離が検出されずに侵害される可能性がある脆弱性が確認されました。
CVSSベーススコア:9.3
対象製品とバージョン
影響を受ける製品 | バージョン |
---|---|
PowerVM Hypervisor | FW1030.00 – FW1030.10 |
PowerVM Hypervisor | FW1020.00 – FW1020.30 |
PowerVM Hypervisor | FW1010.00 – FW1010.50 |
PowerVM Hypervisor | FW950.00 – FW950.70 |
- Power9 サーバーの場合、FW950 のみがサポートされていますが、リストされているファームウェアすべてにこの脆弱性による影響があります。
- Power9 以前の世代のサーバー、および OP9xx ファームウェアを実行するサーバーは、この脆弱性の影響を受けません。
- セキュリティ情報で特定されている複数のパーティションを持つ IBM Power9 または Power10 サーバーは影響を受ける可能性があります。パーティションがどのように作成または管理されたかは関係ありません。
- 現時点で、この脆弱性が不正アクセスに利用されたという報告や兆候はありません。
- 現在のファームウェア・レベルを確認する方法は以下の記事をご参照ください。
対処法
Power9搭載機
以下の製品をお使いのお客様には、表中に記載のファームウェア以降をインストールして、この脆弱性を改善することを強く推奨します。
IBM Power System L922 (9008-22L) | FW950.71(950_124)以降 |
IBM Power System S922 (9009-22A, 9009-22G) | |
IBM Power System H922 (9223-22H, 9223-22S) | |
IBM Power System S914 (9009-41A, 9009-41G) | |
IBM Power System S924 (9009-42A, 9009-42G) | |
IBM Power System H924 (9223-42H, 9223-42S) | |
IBM Power System E950 (9040-MR9) | |
IBM Power System E980 (9080-M9S) |
Power10搭載機
以下の製品をお使いのお客様には、表中に記載のファームウェア以降をインストールして、この脆弱性を改善することを強く推奨します。
IBM Power System E1080 (9080-HEX) | FW1010.51(1010_163)、 FW1030.11(1030_052) またはそれ以降 |
IBM Power System S1022 (9105-22A) | FW1020.31(1020_102)、 FW1030.11(1030_058)、 またはそれ以降 |
IBM Power System S1024 (9105-42A) | |
IBM Power System S1022s (9105-22B) | |
IBM Power System S1014 (9105-41B) | |
IBM Power System L1022 (9786-22H) | |
IBM Power System L1024 (9786-42H) | |
IBM Power System E1050 (9043-MRX) |
- 修正を含むファームウェアはシステム稼働中に適用できます。FW1010.10 より前のファームウェアを実行している Power10 システムを除くすべてのシステムでこの脆弱性が排除されます。
- FW1010.10 より前のファームウェアを実行している Power10 システムでは、サーバーの電源をオフにする必要があります。
詳細/原文
テクニカル・フラッシュ
【IBM Power】Power9 および Power10 における PowerVM のファームウェアに対する脆弱性対応のお願い
https://www.ibm.com/support/pages/node/6995477
Security Bulletin: This Power System update is being released to address CVE 2023-30438
https://www.ibm.com/support/pages/node/6993021
重要なお知らせ
IBM では、サポートされていないバージョンの対象製品を使用しているすべてのユーザーに対して、対象製品のサポートおよび修正済みのバージョンへのアップグレードを推奨しています。