ページの本文へ

Hitachi

日立仮想ファイルプラットフォーム製品における Apache Struts脆弱性(CVE-2014-0114)について

2014年12月5日
(株)日立製作所 ITプラットフォーム事業本部

1. 日立仮想ファイルプラットフォーム製品に対するセキュリティホール対策のお知らせ

Apache Struts(以下Struts)に対して、以下に示すセキュリティホールが公開されました。

[新規情報]

  1. Apache Struts 1.x に ClassLoader の操作を許してしまう脆弱性が存在する。(CVE-2014-0114)

日立仮想ファイルプラットフォーム製品における、上記1.の脆弱性の影響は下記の通りです。

  1. 本件は、Apache Struts 1.x に ClassLoader の操作を許してしまうというものです。日立仮想プラットフォーム製品では、本件の対象となるApache Struts 1.xを使用しており、本脆弱性の影響を受けます。

弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。

ストレージ装置 影響する脆弱性
Hitachi Essential NAS Platform
(Hitachi NAS Manager含む)
CVE-2014-0114
Hitachi Virtual File Platform全モデル
(Hitachi File Services Manager含む)
CVE-2014-0114
Hitachi Data Ingestor CVE-2014-0114

今回の脆弱性に対策を適用したソフトウェアをリリースいたします。ソフトウェアを対策済みバージョンへアップグレードしていただけますようお願いいたします。なお、対策済みバージョンの提供は以下の予定です。これ以外のバージョン、ストレージ装置についての提供に関してはお問い合わせください。

ストレージ装置 対策済みバージョン 提供日
Hitachi Essential NAS Platform
(Hitachi NAS Manager含む)
06-30-/ZH リリース日決定次第、本ページでお知らせ致します。
Hitachi Virtual File Platform全モデル
(Hitachi File Services Manager含む)
4.2.3-12 2014/11月中旬

2. 今回のセキュリティホールの特徴

攻撃者が、上記の脆弱性を悪用する目的で不正なHTTP要求を、影響を受けるコンピュータに送信することにより、任意のJavaコードが実行され、結果として、任意のOSコマンドや不正なプログラム実行を許してしまう可能性があります。

3. 対象製品

弊社ストレージ装置において、今回の脆弱性の影響を受けるバージョンを以下の表に示します。

ストレージ装置 対象SVPバージョン
Hitachi Essential NAS Platform
(Hitachi NAS Manager)
6.3.0-11(※1)未満の全てのバージョン
Hitachi Virtual File Platform全モデル
(Hitachi File Services Manager含む)
4.2.3-03未満の全てのバージョン(※2)
Hitachi Data Ingestor 4.2.3-03未満の全てのバージョン(※2)

(※1)Hitachi NAS Managerのバージョンです。
(※2)4.2.3-03以降および5.0.0-00以降のバージョンは本脆弱性の影響はありません。

 本セキュリティホールに関する情報


本件に関する問い合せ窓口


*1
弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
*2
当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。
*3
当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。