ページの本文へ

Hitachi

サーバ・クライアント製品セキュリティ情報

セキュリティ情報ID hitachi-sec-2021-201

1. 脆弱性の内容

UEFIセキュアブートのセキュリティ機能に関連する脆弱性に対処するため、オープンソースのGRUB2ブートローダーが更新されました。

この更新は、GRUB2の脆弱性の問題(ニックネーム「BootHole」)を対象に、業界全体で以前にも提供されたセキュリティ更新プログラムに関連するものです。

オペレーティングシステムベンダーは、GRUB2の最新のセキュリティ問題に対処するための更新プログラムを提供し始めました。この状況に追従して、HA8000Vシステム装置は、セキュアブート機能が有効になっているユーザー向けに更新版のUEFI Forbidden Signature Database (DBX) を提供します。

詳細については以下CVEを参照してください。

今回新たに公開されたCVE 前回のCVE
(2021年1月8日公開時のCVE)
CVE-2021-20233,
CVE-2020-25632,
CVE-2020-27779,
CVE-2021-20225,
CVE-2020-27749,
CVE-2020-25647
CVE-2020-10713,
CVE-2020-15705,
CVE-2020-7205
*
上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。

2. 対象製品

セキュアブートを有効にしている場合、影響を受けるHA8000V製品については下表を参照してください。

製品 影響を受ける状態 対策済の状態
日立アドバンストサーバ
HA8000Vシリーズ
DL20 Gen10,
DL360 Gen10,
DL380 Gen10,
DL580 Gen10,
ML30 Gen10,
ML350 Gen10
未対策のDBX
(システムユーティリティにてDBXのエントリにHash-221が存在しない場合、未対策となります。*
対策済のDBX
(システムユーティリティにてDBXのエントリにHash-221が存在する場合、対策済となります。*
Intelligent Provisioning (IP) Intelligent Provisioning バージョン 3.60以前 Intelligent Provisioning バージョン 3.62以降
*
詳細な確認方法は「4.IPバージョン・DBXの確認方法」を参照してください。

3. 対策方法

この脆弱性を解決するためには、UEFI Forbidden Signature Database (DBX)のエントリ追加が必要です。未対策のDBXについてもIntelligent Provisioningをバージョン3.62以降にアップデートすることで、問題となるGRUB2での起動を抑止するためのDBXのエントリがBIOSに追加されます。Intelligent Provisioningバージョン3.62以降は次の日立Webページよりダウンロードしてください。(Intelligent Provisioningのアップデートに関してOSの依存性はありません。また、オフラインでリカバリメディアを用いてアップデートする際はシステム装置の再起動が必要となります。)

注意事項:対策版のDBXを適用しセキュアブートが有効になっている場合、Intelligent Provisioning バージョン 3.60以前のブート環境ではシステムが起動できなくなります。また、対策版DBXを適用後システムユーティリティにて「工場デフォルト設定の復元」等を実施すると、DBXのエントリが対策前に戻ってしまう可能性がありますので注意願います。

4. IPバージョン・DBXの確認方法

  • Intelligent ProvisioningのバージョンはiLO5のファームウェア & OS ソフトウェアページで確認してください。
    詳細はご使用中のiLO 5のバージョンに合わせた「HPE iLO 5 *.** ユーザーガイド」を参照してください。
  • システムユーティリティにてDBXのエントリ(Hash-221)を確認する方法を以下に示します。
    システム構成 > BIOS/プラットフォーム構成(RBSU) > サーバーセキュリティ > セキュアブート設定 >
    アドバンストセキュアブートオプション > DBX - 禁止された署名データベース > 署名を表示

表示された全ての”Hash Certificate”を確認してください。

いずれかのHash Certificateに「Hash-221」が存在していることを確認してください。
本例ではHash Certificate-3にてHash-221が確認できました。もしHash-221が存在しない場合はIntelligent Provisioningバージョン3.62以降へのアップデートもしくは上書きが必要となります。

5. 関連情報

以下の重要のお知らせが関連しています。

6. お問い合わせ先

製品サポート窓口にお問い合わせください。

7. 更新来歴

2021年6月25日(更新): 最新の脆弱性情報(CVE-2021-20233, CVE-2020-25632, CVE-2020-27779, CVE-2021-20225, CVE-2020-27749, CVE-2020-25647)に追従した内容に更新しました。

2021年1月8日(公開) : このセキュリティ情報ページを新規作成および発信しました。

*
本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。