概要
2018年9月11日にIntel社よりConverged Security and Management Engine (CSME)とPower Management Controller (PMC)に関する2件の脆弱性が公表されました。この脆弱性の対策方法を以下に示します。
- INTEL-SA-00131
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00131.html - INTEL-SA-00125
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html
NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
重要度
重要
現象および影響範囲
これらの脆弱性により特権昇格や非認証ユーザによるバイパスアクセスを受ける可能性があります。詳細は下記CVEを参照してください。
- INTEL-SA-00131に対するCVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-3643 - INTEL-SA-00125に対するCVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-3655
NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
回避策
上記CVEを参照してください。
対策方法
Server Platform Services (SPS) Firmwareをバージョン04.00.04.393以降にアップデートしてください。Server Platform Services (SPS) Firmwareは次の日立Webページよりダウンロードしてください。
アップデートは、オンライン(Windows/Linuxの場合)もしくはオフラインで可能です。なお、オンラインでアップデートした場合、サーバの再起動が必要となります。
作業時間は1台あたりオンライン:約10分 オフライン:約20分となります。(当該ファームウェアのみ更新された場合)
対象製品
| 対象装置 |
RV3000 A1 HA8000V/DL360 Gen10 HA8000V/DL360 Gen10 for Nutanix HA8000V/DL380 Gen10 HA8000V/DL380 Gen10 for Nutanix HA8000V/DL580 Gen10 HA8000V/ML350 Gen10 |
|---|
発生条件
上記CVEを参照してください。
対象バージョン
Server Platform Services (SPS) Firmware バージョン 04.00.04.288以前
対象バージョン
ファームウェアバージョンはiLO5のファームウェア & OS ソフトウェアページで確認してください。
詳細はご使用中のiLO 5のバージョンに合わせた「HPE iLO 5 *.** ユーザーガイド」を参照してください。
対象OS
OS依存はありません。
更新情報
2020年6月26日(更新)
2019年6月21日(更新)
2019年3月29日(更新)
2018年10月19日(公開)
本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。
文書番号
CRI-2018-0011