IBMは5月26日、Power環境で利用されているHMC(ハードウェア管理コンソール)のOpenSSLに複数の脆弱性があり、サイバー攻撃を受けると機密情報の漏洩につながる恐れがある、と発表した。
5月10日既報の下記の記事、
・OpenSSL for IBM iに複数の脆弱性、DoS攻撃や機密情報漏洩の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響
と同じ脆弱性で、同様の被害を受ける可能性がある。
影響を受ける製品は、
・HMC V10.1.1010.0
・HMC V10.2.1030.0
・HMC V9.2.950.0
の3種類で、修正プログラム(末尾)の適用により改善できる。
以下の脆弱性が指摘されている。
CVE-2022-4304
OpenSSLは、RSA Decryptionの実装におけるタイミングベースのサイドチャネルに起因して、リモート攻撃者が機密情報を取得する恐れがある。攻撃者は、復号化のために過度に多くの試行メッセージを送信することで、機密情報を取得することができる。
CVSS ベーススコア:7.5(重要)
CVE-2022-4450
OpenSSLには、「PEM_read_bio_ex()」関数による特定のPEMデータの不適切な処理によるダブルフリーエラーが原因となり、で、DoS(サービス拒否)攻撃を受ける脆弱性がある。細工されたPEM ァイルを送信して解析させることで、攻撃者はこの脆弱性を悪用してシステムをクラッシュさせることができる。
CVSS ベーススコア:7.5(重要)
CVE-2023-0215
OpenSSLは、「BIO_new_NDEF」関数によるストリーミングASN.1データの不正な処理に関連する、use-after-freeエラーによりDoS(サービス拒否)攻撃を受ける脆弱性がある。
CVSSベーススコア:7.5(重要)
CVE-2023-0286
OpenSSLには、「X.509 GeneralName」のX.400アドレス処理に関連する型の混同エラーによりるDoS(サービス拒否)攻撃を受ける脆弱性がある。memcmp呼び出しに任意のポインタを渡すことで、攻撃者はこの脆弱性を悪用し、メモリの内容を読み取ったり、DoS攻撃を起こすことが可能になる。
CVSS ベーススコア:8.2(重要)
対処法
以下の修正プログラムを適用することにより対処できる。対象製品名はすべて「Power HMC」。
|
VRMF番号
|
APAR番号(プログラム診断依頼書)
|
修正プログラム |
|
V9.2.950.0 SP3 ppc
|
MB04397
|
|
|
V9.2.950.0 SP3 x86
|
MB04396
|
|
|
V10.1.1020.0 SP1 ppc
|
MB04403
|
|
|
V10.1.1020.0 SP1 x86
|
MB04402
|
|
|
V10.2.1030.0 ppc
|
MB04401
|
|
| V10.2.1030.0 SP1 x86 | MB04400 | MF70889 |
・Security Bulletin: Vulnerability in OpenSSL (CVE-2022-4304, CVE-2022-4450, CVE-2023-0215 and CVE-2023-0286 ) affects Power HMC
https://www.ibm.com/support/pages/node/6998707
◎IBM i・Power関連の脆弱性情報(2023年1月~現在)
・IBM i用Javaのセキュリティ機能と暗号機能に欠陥 ~機密情報漏洩の恐れ、とIBM。Java Group PTFの適用を推奨
・Power9・Power10のPowerVMに最高レベルの脆弱性 ~特権昇格の恐れ、IBMは修正版ファームウェアのインストールを強く推奨
・OpenSSL for IBM iに複数の脆弱性、DoS攻撃や機密情報漏洩の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響
・WAS Liberty for IBM iに複数の脆弱性、機密情報の漏洩や特権昇格の恐れ ~IBM i 7.2~7.5の各OSバージョンに影響
・IBM i用のIBM HTTP Serverに複数の脆弱性 ~IBM i 7.2~7.5に影響。HTTPレスポンス分割攻撃やDoS攻撃を受ける恐れ
・複数のIBM i製品で「Log4j バージョン1.x」の脆弱性が発覚 ~Navigator for iやACS、IWS、IASなど。IBMが対処を推奨
・IBM Db2 Web Query for iに脆弱性、IBM Toolbox for JavaのJava文字列処理に起因 ~IBM i 7.3~7.5対応バージョンに影響、CVSSスコアは「警告」
・Power10各モデルに脆弱性、Linuxカーネル内の関数を操作すると機密情報を取得できる ~CVE-2022-3435、ベーススコアは4.3(警告)
・IBM iのWAS Libertyに、HTTPヘッダーインジェクションの脆弱性、IBM i 7.2~7.5に影響 ~さまざまなDoSを受ける恐れ、スコアは最高7.5(重要)
・IBM Navigator for iに複数の脆弱性 ~IBM i 7.3~7.5版、無許可ファイルへのアクセス、SQLインジェクションの実行などが可能に
[i Magazine・IS magazine]
