サーバ製品におけるiLO5およびBMCの脆弱性(CVE-2022-0778他)について

2022年11月25日更新

セキュリティ情報ＩＤ　hitachi-sec-2022-220

1. 脆弱性の内容

iLO5ファームウェアおよびBMCファームウェアおいて、複数の脆弱性が見つかりました。これらの脆弱性により、情報漏えい、権限昇格の攻撃およびサービス運用妨害 (DoS)攻撃を受けるおそれがあります。
対象製品、および詳細は、次項に記載の対象製品、およびCVE-IDを参照してください。


製品名	モデル	CVE-ID	影響を受ける Firmware	対策版 Firmware
日立高信頼サーバ RV3000	A2	CVE-2022-0778 CVE-2016-20012 CVE-2020-14145 CVE-2021-41617	Firmware Bundleバージョン 1.35.12未満	Firmware Bundleバージョン 1.35.12以降
日立高信頼サーバ RV3000	A1	CVE-2022-0778	iLO5バージョン 2.72未満	iLO5バージョン 2.72以降
日立アドバンストサーバ HA8000Vシリーズ	DL360 Gen10, DL380 Gen10, DL580 Gen10, ML350 Gen10, DL20 Gen10, ML30 Gen10, DL360 Gen10 Plus, DL380 Gen10 Plus, DL20 Gen10 Plus, ML30 Gen10 Plus	CVE-2022-0778	iLO5バージョン 2.72未満	iLO5バージョン 2.72以降

*: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。

対象のFirmwareを対策版Firmware以降のバージョンにアップデートしてください。対策版Firmwareは次の日立Webページよりダウンロードしてください。

アップデートはオフラインで可能です。
作業時間は1台あたり約30分となります。

製品サポート窓口にお問い合わせください。

2022年11月25日： RV3000A1の情報を追加しました。
2022年10月28日： HA8000Vの情報を追加しました。
2022年9月30日：このセキュリティ情報ページを新規作成および発信しました。