E4エンハンスモデル製品におけるLog4jの脆弱性(CVE-2021-44228他)について

2022年6月17日更新

セキュリティ情報ＩＤ　hitachi-sec-2021-226

1. 脆弱性の内容

Apache は、 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228他）に関する情報を公開しました。この脆弱性を悪用されると、リモートの攻撃者により任意のコードを実行される恐れがあります。対象製品、および詳細は、次項に記載の対象製品、およびCVEを参照してください。


製品名	形名	対象CVE	影響を受けるVersion	対策版Version
ハードウェアマネジメントコンソール (HWMC)	THE-C7063-CR1 THE-C7042-CR9 THE-C7042-CR8 THE-C7042-CR7 THE-C7042-CR6 THE-C7042-CR5	CVE-2021-44228 ^{1 2}	HWMCコードバージョン V9：V9R2M952.3未満 V8：全て ^*3	HWMCコードバージョン V9：V9R2M952.3以降 V8：なし（対策版のリリース予定はありません）
HRL3	THE-S7063-CR1HA3 THE-S7042-CR9HA3 THE-S7042-CR8HA3 THE-S7042-CR7HA3 THE-S7042-CR6HA3 THE-S7042-CR5HA3	CVE-2021-44228 ^{1 2}	HWMCコードバージョン V9：V9R2M952.3未満 V8：全て ^*3	HWMCコードバージョン V9：V9R2M952.3以降 V8：なし（対策版のリリース予定はありません）

*1: 本アナウンスのリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2: 関連する脆弱性CVE-2021-45046、CVE-2021-45105 および CVE-2021-44832については、HWMC/HRL3では該当する機能を使用していないため、影響はありません。
*3: HWMCコードバージョンV7以下については、本脆弱性に該当するlog4j バージョン2.xを使用していないため、影響はありません。

HWMCコードバージョンV9の場合：HWMCコードを対策版のバージョンに更新します^*4。更新作業は保守員により実施いたしますので、担当保守部署にお問い合わせください。保守員による更新作業が実施できない場合は、HWMCコードが使用するApache Log4jのJndiLookupクラスライブラリを削除します。対策作業に関する注意事項および対策手順について、製品サポート窓口よりご案内いたします。製品サポート窓口にお問い合わせください。
HWMCコードバージョンV8の場合：HWMCコードが使用するApache Log4jのJndiLookupクラスライブラリを削除します。HWMCコードバージョンV8R8.6.0SP2未満の場合は、HWMCコードをV8R8.6.0SP2にバージョンアップしてから対策手順を実施します。対策作業に関する注意事項および対策手順について、製品サポート窓口よりご案内いたします。製品サポート窓口にお問い合わせください。

*4: JndiLookupクラスライブラリを削除する対策をすでに実施した装置については、HWMCコードの更新をしなくても、本脆弱性への影響はありません。また、2022年1月25日以降に納入した装置については、JndiLookupクラスライブラリを削除する対策を実施済の状態で出荷していますので、本脆弱性への影響はありません。

上記対策が実施できない場合は、HWMC/HRL3を信頼できるネットワーク、またはローカルネットワークに接続してください。なお、HWMC/HRL3を停止する場合は、以下の影響があります。

- ASSIST通報による障害監視ができません。
- 系切替機構による系切替制御ができません。
- LPAR電源制御機構による電源制御ができません。
- 管理対象サーバの制御(装置電源ON/OFF、LPARの起動/停止、LPAR設定変更など)、およびログ収集ができません。

製品サポート窓口にお問い合わせください。

2022年6月17日：対策版バージョン、および対策方法を更新しました。
2022年1月21日：対象製品形名、影響を受けるバージョン、および対策方法を更新しました。
2021年12月28日：このセキュリティ情報ページを新規作成および発信しました。