MENU

Db2 for iに権限要件の脆弱性、特権を持たないユーザーでも物理ファイルトリガーを構成可能に ~CVE-2024-27275、CVSS 基本スコアは「7.4」(重要)

IBMは6月20日、Db2 for IBM iの物理ファイルトリガーを構成する機能に脆弱性があり、特権昇格を受ける恐れがある、と発表した。

影響を受けるIBM i OSバージョンは、

IBM i 7.5
IBM i 7.4
IBM i 7.3
IBM i 7.2

以下の脆弱性が指摘されている。

CVE-2024-27275

Db2 for iには権限要件に起因する脆弱性があり、特権を持たないユーザーでもDb2 for IBM iの物理ファイルトリガーを構成することが可能になり、特権昇格の恐れがある。

CVSS 基本スコア:7.4(重要)

対処法

修正用のPTFは、Security Bulletinの当該ページに多数リストされている。

・Security Bulletin: IBM i is vulnerable to a privilege escalation due to the ability to configure a physical file trigger in Db2 for IBM i. [CVE-2024-27275]
https://www.ibm.com/support/pages/node/7157637

[i Magazine・IS magazine]