セキュリティ情報（2006年8月11日）

SANRISEシリーズにおけるSVPセキュリティホール
（新規：MS06-040〜051／更新：MS05-004）対策について

2006年8月11日
（株）日立製作所RAIDシステム事業部

1. SANRISEシリーズに対するセキュリティホール対策のお知らせ

　Microsoft製品に対して、以下に示すセキュリティホールが公開されました。

［新規］

1. MS06-040：Serverサービスの脆弱性により、リモートでコードが実行される（921883）
2. MS06-041：DNS解決の脆弱性により、リモートでコードが実行される（920683）
3. MS06-042：Internet Explorer用の累積的なセキュリティ更新プログラム（918899）
4. MS06-043：Microsoft Windowsの脆弱性により、リモートでコードが実行される（920214）
5. MS06-044：Microsoft管理コンソール（MMC）の脆弱性により、リモートでコードが実行される（917008）
6. MS06-045：Windowsエクスプローラの脆弱性により、リモートでコードが実行される（921398）
7. MS06-046：HTMLヘルプの脆弱性により、リモートでコードが実行される（922616）
8. MS06-047：Microsoft Visual Basic for Applications（VBA）の脆弱性により、リモートでコードが実行される（921645）
9. MS06-048：Microsoft Officeの脆弱性により、リモートでコードが実行される（922968）
10. MS06-049：Windowsカーネルの脆弱性により、特権が昇格される（920958）
11. MS06-050：Microsoft Windowsハイパーリンク オブジェクト ライブラリの脆弱性により、リモートでコードが実行される（920670）
12. MS06-051：Windowsカーネルの脆弱性により、リモートでコードが実行される（917422）

［更新］

13. MS05-004：ASP.NETパス検証の脆弱性（887219）

　弊社のSANRISEシリーズのSVPにおける、上記1〜13の脆弱性の影響は下記の通りです。

1. 本件は、Serverサービスの脆弱性により、リモートでコードが実行されるというものです。
   SANRISEシリーズのSVPでは、本件の対象となるOSを使用しており、本脆弱性の影響を受けます。
2. 本件は、DNS解決の脆弱性により、リモートでコードが実行されるというものです。
   SANRISEシリーズのSVPでは、本件の対象となるOSを使用しており、本脆弱性の影響を受けます。
3. 本件は、Internet Explorerの脆弱性により、リモートでコードが実行される等が起きるというものです。
   本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページまたは電子メールメッセージを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
4. 本件は、Microsoft Windowsの脆弱性により、リモートでコードが実行されるというものです。
   本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページまたは電子メールメッセージを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
5. 本件は、Microsoft管理コンソール（MMC）の脆弱性により、リモートでコードが実行されるというものです。
   本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
6. 本件は、Windowsエクスプローラの脆弱性により、リモートでコードが実行されるというものです。
   本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
7. 本件は、HTMLヘルプの脆弱性により、リモートでコードが実行されるというものです。
   本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
8. 本件は、Microsoft Visual Basic for Applications（VBA）の脆弱性により、リモートでコードが実行されるというものです。
   SVPはサブシステム管理専用装置であり、VBAが使用されることはありません。このため、SVPでは本脆弱性の影響は受けません。
9. 本件は、Microsoft Officeの脆弱性により、リモートでコードが実行されるというものです。
   SVPはサブシステム管理専用装置であり、Microsoft Officeが使用されることはありません。このため、SVPでは本脆弱性の影響は受けません。
10. 本件は、Windowsカーネルの脆弱性により、特権が昇格されるというものです。
    本脆弱性を攻撃者が悪用するには、攻撃対象のコンピュータにローカルでログオンし、特別な細工が施されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
11. 本件は、Microsoft Windowsハイパーリンク オブジェクト ライブラリの脆弱性により、リモートでコードが実行されるというものです。
    本脆弱性を攻撃者が悪用するには、特別な細工が施されたWebページを表示させるように、SVP使用者（保守員）を誘導する必要が有ります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
12. 本件は、Windowsカーネルの脆弱性により、リモートでコードが実行されるというものです。
    本脆弱性を攻撃者が悪用するには、攻撃対象のコンピュータにローカルでログオンし、特別な細工が施されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。
13. 本件は、ASP.NETに関する脆弱性により、Webサイトのセキュリティ設定が無視され、不正アクセスが行なわれる可能性があるというものです。
    SVPはサブシステム管理専用装置であり、ASP.NETを使用したWebアプリケーションが動作することはありません。このため、SVPでは本脆弱性の影響は受けません。

　弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。

表1 脆弱性の影響範囲

ストレージ装置	影響する脆弱性
Hitachi Universal Storage Platform Hitachi Universal Storage Platform H12000 Hitachi Network Storage Controller Hitachi Universal Storage Platform H10000	MS06-040 MS06-041
SANRISE9900Vシリーズ SANRISE H1024/128	MS06-040 MS06-041

　現在までのところ、SVPに影響がある上記の脆弱性を利用したVirusならびにWormは発見されておりませんが、今後この脆弱性を利用したVirusあるいはWormが広まった場合、SVPが攻撃の対象となる危険性があります。
　ただし、SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。またSANRISEに蓄積されているデータを読み取られることもありません。
　しかしながら万一SVPが攻撃された場合、装置の構成変更設定や保守作業に支障をきたす等の可能性があります。
　そのため今般、対象となる製品に対しまして、予防処置をさせていただきます。

2. 今回のセキュリティホールの特徴

　攻撃者が、上記の脆弱性を悪用する目的で、特別な細工を施したメッセージを作成し、影響を受けるコンピュータに送信することにより、リモートでコードが実行される可能性、サービス拒否等の可能性があります。

3. 対象製品

Hitachi Universal Storage Platform、Hitachi Universal Storage Platform H12000、
Hitachi Network Storage Controller、Hitachi Universal Storage Platform H10000、
SANRISE9980V/9970V、SANRISE9980V-e/9970V-e、SANRISE H1024/ H128

注：

Hitachi Adaptable Modular Storage、Hitachi Workgroup Modular Storage、SANRISE9500Vシリーズ、SANRISE 2000/2000-e/1000シリーズ、およびSANRISE H512/H48は影響を受けません。

4. 対策の内容

　マイクロソフト社より提供されている対策パッチの適用を、弊社保守員が実施させていただきます。現在、本件に関する対策準備を進めております。20日ほどで対策準備が整う予定でございます。対策準備が整い次第、弊社保守員よりご連絡申し上げます。本パッチの適用により、今回問題となっている脆弱性は対策されます。

5. Worm/Virusに対するSANRISEの見解

　今回のように、通常のSANRISEの運用でも感染する危険性を持つセキュリティホールが顕在化した場合には、Virus/Wormの出現を待つまでもなく、逐次その旨お知らせすると共に、対策を実施させていただきます。
　情報の提供はご覧のWebへ掲載する他、サポート契約に基づくSoftware Support Newsにてお知らせいたします。

6. Storage Navigatorのご使用について

　Storage Navigatorを使用されている場合、クライアントPCのOSによっては同様の対策が必要と思われます。詳しくはメーカにお尋ねいただくか、以下のセキュリティサイトをご確認の上対応をお願い致します。

• http://www.microsoft.com/japan/

　本セキュリティホールに関する情報

• http://www.microsoft.com/japan/technet/security/bulletin/ms06-040.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-041.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-042.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-043.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-044.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-045.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-046.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-047.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-048.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-049.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-050.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-051.mspx
• http://www.microsoft.com/japan/technet/security/bulletin/ms06-004.mspx

---

本件に関する問合せ窓口
（株）日立製作所RAIDシステム事業部 販売推進本部 販売企画部

• 問い合わせ先はこちら

---

*1

弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

*2

当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。

*3

当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。

• ページの先頭へ