Service Pack for RV3000 (SPR), Service Pack for HA8000V (SPH)収録のSmart Update Manager (SUM) に関する2件の脆弱性が公表されました。この脆弱性の対策方法を以下に示します。
重要
SUMに含まれる2件の脆弱性により、特権昇格や非認証ユーザによるバイパスアクセスを受ける可能性があります。詳細は下記CVEを参照してください。
NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
最新のSPR/SPHをご使用ください。SPR2.10以降およびSPH5.00以降に収録されているSUMバージョン8.4.0は本脆弱性の対策が行われています。
【やむを得ずSPR1.60以前およびSPH4.60以前をご使用になる場合】
やむを得ずSPR1.60以前およびSPH4.60以前をご使用する場合は、ローカル/リモートで意図しないユーザのアクセスがない環境でご使用いただき、作業終了後は速やかにSUMエンジンをシャットダウンするか、装置のリブートを実施してください。
SPR1.60以前およびSPH4.60以前に収録のファームウェア、ドライバを、最新のSPR/SPHから起動したSUMから参照することもできます。手順の詳細については『Smart Update Managerユーザーガイド』の「ベースラインの追加」を参照いただくか、サポートサービスへお問い合わせください。
SUMバージョン8.4.0で本問題は対策されています。
対象製品名 |
Smart Update Manager (SUM) Service Pack for RV3000 (SPR) Service Pack for HA8000V (SPH) |
---|---|
対象装置 |
RV3000 A1 HA8000V/DL20 Gen10 HA8000V/DL360 Gen10 HA8000V/DL360 Gen10 for Nutanix HA8000V/DL380 Gen10 HA8000V/DL380 Gen10 for Nutanix HA8000V/DL580 Gen10 HA8000V/ML30 Gen10 HA8000V/ML350 Gen10 |
CVE-2019-11987 : Smart Update Manager (SUM) バージョン8.4.0より前のバージョン
CVE-2019-11988 : Smart Update Manager (SUM) バージョン8.3.5より前のバージョン
SPR/SPHの各バージョンとisoファイル名/ボリュームラベルは次の通りです。
SPRバージョン | SPR isoファイル名 | ボリュームラベル | 収録SUMバージョン |
---|---|---|---|
1.50 14 | HTC150.2018_0926.14.iso | HTC150 | 8.3.5 (対象) |
1.60 19 | HTC160.2018_1130.19.iso | HTC160 | 8.3.7 (対象) |
2.10 1 | HTC210.2019_0424.1.iso | HTC210 | 8.4.0 |
SPHバージョン | SPH isoファイル名 | ボリュームラベル | 収録SUMバージョン |
---|---|---|---|
1.00 46 | HTC100.2017_0920.46.iso | HTC100 | 8.0.0 (対象) |
2.00 8 | HTC200.2017_1102.8.iso | HTC200 | 8.0.0 (対象) |
3.00 33a | HTC300.2018_0221.33a.iso | HTC300 | 8.2.0 (対象) |
4.00 30 | HTC400.2018_0622.30.iso | HTC400 | 8.3.1 (対象) |
4.50 14 | HTC450.2018_0926.14.iso | HTC450 | 8.3.5 (対象) |
4.60 20 | HTC460.2018_1130.20.iso | HTC460 | 8.3.7 (対象) |
5.00 26 | HTC500.2019_0308.26.iso | HTC500 | 8.4.0 |
5.10 2 | HTC510.2019_0503.2 | HTC510 | 8.4.0 |
2019年7月26日(公開)
CRI-2019-0009