公開日: 2022年9月6日
(株)日立製作所 ITプロダクツ統括本部
セキュリティ情報ID
Hitachi-sec-2022-307
日立ディスクアレイシステム向けStorage Replication Adapter (Hitachi RAID Manager SRA(RMSRA))に、i)認証情報露出の脆弱性、ii)任意のコマンド実行の脆弱性が存在します。
i) CVE-2022-34882 : 認証情報露出の脆弱性
ii) CVE-2022-34883 : 任意のコマンド実行の脆弱性
下記の製品が影響を受けます。
対象製品 | Hitachi RAID Manager SRA | 対象ソフトウェアバージョン |
|
---|
※1 サポート終了製品です。
※2 Docker版及びWindows版の両方が影響を受けます。
脆弱性 i)に関する回避策:
VMware Site Recovery Manager (SRM)の”Add Array Manager”画面で登録する下記の情報に以下の使用可能文字以外は使用しないでください。
<登録する情報>
✔ RAID Manager稼働サーバのIPアドレスもしくはホスト名
✔ RAID Manager稼働サーバにSSH接続するためのユーザ名
✔ RAID Manager稼働サーバにSSH接続するためのパスワード
<使用可能文字>
半角英数字と次の記号
-(ハイフン) ,(カンマ) .(ピリオド) :(コロン) @(アットマーク) _(アンダースコア) /(スラッシュ)
SRMのログに既にパスワードが記録されている可能性があるため、以下の手順でログを削除してください。
注意:
<ログ削除手順(Docker版RMSRAを使用している場合)>
<ログ削除手順(Windows版RMSRAを使用している場合)>
<ログ削除手順(Docker版/Windows版共通)>
SRMサーバにおいてログの転送などを設定している場合は、転送されたログに対しても同様にチェックし、ログの削除を実行してください。
脆弱性ii)に関する回避策:
SRM のアクセス権限の管理を厳密にしてください。
公開情報なし。