ページの本文へ

Hitachi

サーバ・クライアント製品セキュリティ情報

セキュリティ情報ID hitachi-sec-2021-226

1. 脆弱性の内容

Apache は、 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228他)に関する情報を公開しました。この脆弱性を悪用されると、リモートの攻撃者により任意のコードを実行される恐れがあります。対象製品、および詳細は、次項に記載の対象製品、およびCVEを参照してください。

2. 対象製品

製品名 形名 対象CVE 影響を受けるVersion
ハードウェア マネジメント コンソール
(HWMC)
THE-C7063-CR1
THE-C7042-CR9
THE-C7042-CR8
THE-C7042-CR7
THE-C7042-CR6
THE-C7042-CR5
CVE-2021-44228
*1 *2
HWMCコードバージョンV9およびV8全て
*3
HRL3 THE-S7063-CR1HA3
THE-S7042-CR9HA3
THE-S7042-CR8HA3
THE-S7042-CR7HA3
THE-S7042-CR6HA3
THE-S7042-CR5HA3
*1
本アナウンスのリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2
関連する脆弱性CVE-2021-45046CVE-2021-45105 および CVE-2021-44832については、HWMC/HRL3では該当する機能を使用していないため、影響はありません。
*3
HWMCコードバージョンV7以下については、本脆弱性に該当するlog4j バージョン2.xを使用していないため、影響はありません。

3. 対策方法

HWMCコードが使用するApache Log4jのJndiLookupクラス ライブラリを削除します。HWMCコードバージョンV8R8.6.0SP2未満の場合は、HWMCコードをV8R8.6.0SP2にバージョンアップしてから対策手順を実施します。
対策作業に関する注意事項および対策手順について、製品サポート窓口よりご案内いたします。製品サポート窓口にお問い合わせください。

上記対策が実施できない場合は、HWMC/HRL3を信頼できるネットワーク、またはローカルネットワークに接続してください。なお、HWMC/HRL3を停止する場合は、以下の影響があります。

  • ASSIST通報による障害監視ができません。
  • 系切替機構による系切替制御ができません。
  • LPAR電源制御機構による電源制御ができません。
  • 管理対象サーバの制御(装置電源ON/OFF、LPARの起動/停止、LPAR設定変更など)、およびログ収集ができません。

4. お問い合わせ先

製品サポート窓口にお問い合わせください。

5. 更新来歴

2022年1月21日 : 対象製品形名、影響を受けるバージョン、および対策方法を更新しました。
2021年12月28日 : このセキュリティ情報ページを新規作成および発信しました。

  • * 本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。