IBMは10月27日、IBM iのManagement Centralに欠陥があり特権昇格を受ける恐れがある、と発表した。
Management Centralは、システム管理タスクを同時に実行するために必要なテクノロジーを提供するもの。IBM Navigator for iにManagement Centralの機能が使用されている。
影響を受けるOSバージョンは、
・IBM i 7.5
・IBM i 7.4
・IBM i 7.3
・IBM i 7.2
以下の脆弱性が指摘されている。
CVE-2023-40685
IBM i Navigatorの一部であるManagement Centralには脆弱性があり、特権昇格を受ける恐れがある。その脆弱性を悪用して特権を得た攻撃者は、OSへのコンポーネントアクセスを得ることができる。
CVSSスコア:7.4(重要)
*IBMの「Security Bulletin」では、CVE-2023-40686(CVSSスコア:4.9(警告))も記載されているが、CVE-2023-40685と同じ内容なので省略する。
対処法
以下のPTFを適用することにより修正できる。
| IBM i OSバージョン |
5770-SS1 PTF 番号 |
PTF ダウンロード・リンク |
| 7.5 | SI84794 | https://www.ibm.com/support/pages/ptf/SI84794 |
| 7.4 | SI84792 | https://www.ibm.com/support/pages/ptf/SI84792 |
| 7.3 | SI84791 | https://www.ibm.com/support/pages/ptf/SI84791 |
| 7.2 | SI84788 | https://www.ibm.com/support/pages/ptf/SI84788 |
| IBM i OSバージョン | 5770-SS1 Option 3 PTF 番号 | PTF ダウンロード・リンク |
| 7.5 | SI84787 | https://www.ibm.com/support/pages/ptf/SI84787 |
| 7.4 | SI84784 | https://www.ibm.com/support/pages/ptf/SI84784 |
| 7.3 | SI84783 | https://www.ibm.com/support/pages/ptf/SI84783 |
| 7.2 | SI84782 | https://www.ibm.com/support/pages/ptf/SI84782 |
・Security Bulletin: IBM i is vulnerable to a local privilege escalation due to flaws in Management Central (CVE-2023-40685, CVE-2023-40686).
https://www.ibm.com/support/pages/node/7060686
[i Magazine・IS magazine]
