IBM Support

【TF】【IBMPower】Power9 および Power10 における PowerVM のファームウェアに対する脆弱性対応のお願い

Flashes (Alerts)


Abstract

【障害情報】Power9 および Power10 の PowerVM に内部的な脆弱性が発見されました。
この脆弱性により、データが漏洩したり、同じ物理サーバー上の他のLPARで任意のコードが実行されたりする可能性があります。
この脆弱性に対応したファームウェアをダウンロードしてインストールしてください。

Content

※ 当テクニカル・フラッシュは、以下のIBM PSIRT Newsの日本のお客様向けのガイドとなります。
Important Information for vulnerability in PowerVM on Power9 and Power10 systems
当脆弱性により発生しうる事象について
Power9 および Power10 の PowerVM に内部的な脆弱性が発見されました。
この脆弱性により、特権ユーザーによるLPARへのアクセス権を持つ攻撃者が、LPAR間の分離に対する検出されない違反を実行する可能性があります。
これにより、データが漏洩したり、同じ物理サーバー上の他のLPARで任意のコードが実行されたりする恐れがあります。
Q1. すべての Power9 および Power10 サーバーが影響を受けますか?
 
  • 影響を受ける Power9 および Power10 のファームウェアのリスト
    Affected Product(s) Version(s)
    PowerVM Hypervisor FW1030.00 - FW1030.10
    PowerVM Hypervisor FW1020.00 - FW1020.30
    PowerVM Hypervisor FW1010.00 - FW1010.50
    PowerVM Hypervisor FW950.00 - FW950.70
  • Power9 サーバーの場合、FW950 のみがサポートされていますが、リストされているファームウェアすべてにこの脆弱性による影響があります。
  • Power9 以前の世代のサーバー、および OP9xx ファームウェアを実行するサーバーは、この脆弱性の影響を受けません。
  • 現時点で、この脆弱性が不正アクセスに利用されたという報告や兆候はありません。
Q2. 脆弱性はいつ、どのように発見されましたか?
 
  • IBM の内部で発見されました。この脆弱性に対応した修正が 2023/5/17にFix Centralで提供されています。
Q3. お客様は何をすべきでしょうか?
 
  • Fix Centralの指示に従って、ファームウェアをダウンロードしてインストールしてください。
 
Q4. この脆弱性はお客様にどのような影響を与えますか?
 
  • データ漏洩の可能性や、同じ物理サーバー上の他のLPARで任意のコードが実行される可能性があります。
  • この脆弱性が不正アクセスに利用されたという報告や兆候はありません。
 
Q5. 他の環境よりも危険にさらされている環境はありますか?
 
  • パーティションのアクセス制御はお客様が決定されるため、IBM はどの環境が危険にさらされる可能性があるかを予測できません。1 つ以上のパーティションへの特権ユーザー アクセスを許可した環境は、潜在的な問題があると見なす必要があります。
Q6. 修正をシステム稼働中に適用できますか?
 
  • 修正を含むファームウェアはシステム稼働中に適用できます。FW1010.10 より前のファームウェアを実行している Power10 システムを除くすべてのシステムでこの脆弱性が排除されます。
  • FW1010.10 より前のファームウェアを実行している Power10 システムでは、サーバーの電源をオフにする必要があります。
Q7. どのタイプのパーティションが影響を受ける可能性がありますか?
 
  • セキュリティ情報で特定されている複数のパーティションを持つ IBM Power9 または Power10 サーバーは影響を受ける可能性があります。パーティションがどのように作成または管理されたかは関係ありません。
Q8. IBM の Power Virtual Server 環境 (Power VS) は影響を受けますか?
 
  • Power Systems Virtual Server on IBM Cloud (Power VS) はこの脆弱性の影響を受けており、パッチが適用されています。
以上

[{"Type":"MASTER","Line of Business":{"code":"LOB57","label":"Power"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SSPHKW","label":"PowerVM Virtual I\/O Server"},"ARM Category":[],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
18 May 2023

UID

ibm16995477

Page Feedback