UPS製品におけるLog4jの脆弱性(CVE-2021-44228他)について

2023年2月3日更新

セキュリティ情報ＩＤ　hitachi-sec-2021-225

1. 脆弱性の内容

シュナイダーエレクトリックより、Apache Log4jの脆弱性情報が公開されました。
脆弱性の内容については、下記シュナイダーエレクトリックのホームページを参照願います。

この脆弱性の影響を受ける対象製品、および詳細を次項に示しますので、下記対策方法による回避をお願いいたします。


製品名	形名	対象CVE	影響を受けるVersion
PowerChute Business Edition	GQS-VSU7BS100N	CVE-2021-44228 CVE-2021-45046 ^{1 2}	v10.0
PowerChute Network Shutdown for Windows and Linux	GQS-VSU7BLS420 GQS-VSU7BLS430		v4.2, v4.3
PowerChute Network Shutdown for Virtualization	GQS-VSU7BLE420 GQS-VSU7BLE430		v4.2, v4.3
PowerChute Network Shutdown for Specialize OS	GQS-VSU7BLP420 GQS-VSU7BLP430		v4.2, v4.3

*1: 本アナウンスのリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2: 関連する脆弱性CVE-2021-45105 ^*1について、本製品は再帰的（self-referential）なLookup要求に対し、log4j.xmlファイルにデフォルト以外の特定のパターンレイアウトを使用していないため、影響はありません。

下記シュナイダーエレクトリックのホームページを参照し対策をお願いします。

(1)	PowerChute Network Shutdown for Windows and Linux / Virtualization / Specialized OS v4.3 をご利用の方 [セキュリティ情報] PowerChute Network Shutdown v4.3/v4.4のApache Log4j脆弱性に対する修正プログラム (2022年2月公開)^*1
(2)	PowerChute Network Shutdown for Windows and Linux / Virtualization / Specialized OS v4.2 をご利用の方(下記リンクの何れかを適用) Apache Log4j脆弱性に関するPowerChute Network Shutdownへの影響とスクリプトによる対策について^1 Apache Log4j脆弱性に関するPowerChute Network Shutdownへの影響と7Zipによる対策について^1
(3)	PowerChute Business Edition v10.0 をご利用の方日立製作所製PowerChute Business Edition v10.0.5へのアップデートについて^*1 PowerChute Business Edition v10.0.5へアップデートすることにより、Apache Log4jの脆弱性が対策されます。

製品サポート窓口にお問い合わせください。

2023年2月3日：このセキュリティ情報ページのリンク先を更新しました。
2022年12月16日：このセキュリティ情報ページのリンク先を更新しました。
2021年12月28日：このセキュリティ情報ページを新規作成および発信しました。