IBM AIX Security Breach: CVE-2024-56346 (CVSS 10) & CVE-2024-56347 Explained
2025/03/20 SecurityOnline — IBM がリリースしたのは、リモート攻撃者に対して任意のコマンド実行を許す可能性のある、AIX に存在する深刻な脆弱性を詳述するセキュリティ速報である。この速報では、2つの主要な脆弱性 CVE-2024-56346/CVE-2024-56347 が対処されている。
CVE-2024-56346 (CVSS:10.0):IBM AIX nimesis NIM マスター・サービスに存在するものだ。この、不適切なプロセス制御の脆弱性を悪用するリモートの攻撃者は、任意のコマンド実行の可能性を手にする。
CVE-2024-56347 (CVSS:9.6):IBM AIX nimsh サービスに影響を及ぼすものだ。SSL/TLS 保護メカニズムにおける不適切なプロセス制御により、リモート攻撃者に任意のコマンド実行を許す可能性が生じる。
この脆弱性は、AIX バージョン 7.2/7.3 に影響を及ぼす。具体的には、bos.sysmgt.nim.client/bos.sysmgt.nim.master/bos.sysmgt.sysbr のファイル・セットにより、これらの脆弱性は対処される。
これらの問題に対処するために、IBM は APAR (Authorized Program Analysis Reports) をアサインしている。具体的な APAR は、AIX のレベルに応じて異なるものとなる。すでに IBM は、AIX の修正を提供している。ユーザーに対して強く推奨されるのは、これらの脆弱性に直ちに対処することだ。
AIX/VIOS の修正版は、このリンクからダウンロードできる。ダウンロードする tar ファイルに含まれるのは、署名済みのアドバイザリ/修正パッケージ/各パッケージの OpenSSL 署名である。この修正には、修正と AIX テクノロジー・レベル間の正しいマッピングを保証するための、前提条件チェックが取り込まれている。
IBM の Unix OS である IBM AIX に存在する、2つの脆弱性が FIX しました。どちらも脅威度 Critical と評価されている、深刻なものです。ご利用のチームは、速やかなアップデートを ご検討ください。よろしければ、IBM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.