Hitachi

[重要なお知らせ]
SPR1.60以前/SPH4.60以前に収録のSUMに関する脆弱性について

概要

Service Pack for RV3000 (SPR), Service Pack for HA8000V (SPH)収録のSmart Update Manager (SUM) に関する2件の脆弱性が公表されました。この脆弱性の対策方法を以下に示します。

重要度

重要

現象および影響範囲

SUMに含まれる2件の脆弱性により、特権昇格や非認証ユーザによるバイパスアクセスを受ける可能性があります。詳細は下記CVEを参照してください。

NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。

回避策

最新のSPR/SPHをご使用ください。SPR2.10以降およびSPH5.00以降に収録されているSUMバージョン8.4.0は本脆弱性の対策が行われています。

【やむを得ずSPR1.60以前およびSPH4.60以前をご使用になる場合】
やむを得ずSPR1.60以前およびSPH4.60以前をご使用する場合は、ローカル/リモートで意図しないユーザのアクセスがない環境でご使用いただき、作業終了後は速やかにSUMエンジンをシャットダウンするか、装置のリブートを実施してください。
SPR1.60以前およびSPH4.60以前に収録のファームウェア、ドライバを、最新のSPR/SPHから起動したSUMから参照することもできます。手順の詳細については『Smart Update Managerユーザーガイド』の「ベースラインの追加」を参照いただくか、サポートサービスへお問い合わせください。

対策方法

SUMバージョン8.4.0で本問題は対策されています。

対象製品

対象製品名 Smart Update Manager (SUM)
Service Pack for RV3000 (SPR)
Service Pack for HA8000V (SPH)
対象装置 RV3000 A1
HA8000V/DL20 Gen10
HA8000V/DL360 Gen10
HA8000V/DL360 Gen10 for Nutanix
HA8000V/DL380 Gen10
HA8000V/DL380 Gen10 for Nutanix
HA8000V/DL580 Gen10
HA8000V/ML30 Gen10
HA8000V/ML350 Gen10

対象バージョン

CVE-2019-11987 : Smart Update Manager (SUM) バージョン8.4.0より前のバージョン
CVE-2019-11988 : Smart Update Manager (SUM) バージョン8.3.5より前のバージョン

バージョン確認方法

SPR/SPHの各バージョンとisoファイル名/ボリュームラベルは次の通りです。

SPRバージョン SPR isoファイル名 ボリュームラベル 収録SUMバージョン
1.50 14 HTC150.2018_0926.14.iso HTC150 8.3.5 (対象)
1.60 19 HTC160.2018_1130.19.iso HTC160 8.3.7 (対象)
2.10 1 HTC210.2019_0424.1.iso HTC210 8.4.0
SPHバージョン SPH isoファイル名 ボリュームラベル 収録SUMバージョン
1.00 46 HTC100.2017_0920.46.iso HTC100 8.0.0 (対象)
2.00 8 HTC200.2017_1102.8.iso HTC200 8.0.0 (対象)
3.00 33a HTC300.2018_0221.33a.iso HTC300 8.2.0 (対象)
4.00 30 HTC400.2018_0622.30.iso HTC400 8.3.1 (対象)
4.50 14 HTC450.2018_0926.14.iso HTC450 8.3.5 (対象)
4.60 20 HTC460.2018_1130.20.iso HTC460 8.3.7 (対象)
5.00 26 HTC500.2019_0308.26.iso HTC500 8.4.0
5.10 2 HTC510.2019_0503.2 HTC510 8.4.0

更新情報

2019年7月26日(公開)

*
本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。

文書番号

CRI-2019-0009