Hitachi Command Suite製品およびHitachi Infrastructure Analytics Advisorにおける複数の脆弱性

2018.12.03 更新

Hitachi Command Suite製品，および，Hitachi Infrastructure Analytics Advisorに複数の脆弱性が存在します。

セキュリティ情報ID

hitachi-sec-2018-122

脆弱性の内容

Hitachi Command Suite製品，および，Hitachi Infrastructure Analytics Advisorに下記の脆弱性が存在します。

CVE-2018-2940, CVE-2018-2952, CVE-2018-2973

影響を受けるバージョンを下記に示しますので，対策版の適用または，下記[暫定回避策]による回避をお願いいたします。

対象製品

対象製品名 : Hitachi Device Manager(*1)

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Tiered Storage Manager

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Replication Manager

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Tuning Manager
対象コンポーネント名 : Hitachi Tuning Manager server

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Tuning Manager
対象コンポーネント名 : Hitachi Tuning Manager - Agent for RAID

対象バージョン :

8.0.0-00以降, 8.6.2-00未満

対象製品名 : Hitachi Tuning Manager
対象コンポーネント名 : Hitachi Tuning Manager - Agent for NAS

対象バージョン :

8.0.0-00以降, 8.6.2-00未満

対象製品名 : Hitachi Tuning Manager
対象コンポーネント名 : Hitachi Tuning Manager - Agent for SAN Switch

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Dynamic Link Manager(*2)

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Global Link Manager

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Compute Systems Manager

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Automation Director(海外版)

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Automation Director(国内版)

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Configuration Manager

対象バージョン :

8.6.2-00未満

対象製品名 : Hitachi Infrastructure Analytics Advisor(*3)
対象コンポーネント名 : Hitachi Infrastructure Analytics Advisor

対象バージョン :

4.2.0-00未満

対象製品名 : Hitachi Infrastructure Analytics Advisor(*3)
対象コンポーネント名 : Analytics probe server

対象バージョン :

4.2.0-00未満

*1

Solaris版，AIX版，HP-UX版のDevice ManagerエージェントはJavaをインストールしないため，本脆弱性の影響を受けません。

*2

Solaris版，AIX版，HP-UX版のHitachi Dynamic Link ManagerはJavaをインストールしないため，本脆弱性の影響を受けません。

*3

この製品の日本における販売は終了しております。

対策版の提供

対象製品名 : Hitachi Device Manager(*4)

対策バージョン :

Windows, Linux(*5)

8.6.2-00 2018.10.15

対象製品名 : Hitachi Tiered Storage Manager

対策バージョン :

Windows, Linux(*5)

8.6.2-00 2018.10.15

対象製品名 : Hitachi Replication Manager

対策バージョン :

Windows, Linux(*5)

8.6.2-00 2018.10.15

対象製品名 : Hitachi Tuning Manager(*6)

対策バージョン :

Windows, Linux(*5)

8.6.2-00 2018.10.15

対象製品名 : Hitachi Dynamic Link Manager(*7)

対策バージョン :

Windows, Linux, VMware

8.6.2-00 2018.10.15

対象製品名 : Hitachi Global Link Manager

対策バージョン :

Windows

8.6.2-00 2018.10.15

対象製品名 : Hitachi Compute Systems Manager

対策バージョン :

Windows, Linux

8.6.2-00 2018.10.15

対象製品名 : Hitachi Automation Director(海外版)

対策バージョン :

Windows, Linux

8.6.2-00 2018.10.15

対象製品名 : Hitachi Automation Director(国内版)

対策バージョン :

Windows, Linux

8.6.2-00 2018.11.30

対象製品名 : Hitachi Configuration Manager

対策バージョン :

Windows, Linux

8.6.2-00 2018.10.15

対象製品名 : Hitachi Infrastructure Analytics Advisor(*3)(*8)

対策バージョン :

Windows, Linux

4.2.0-00 2018.10.15

*4

下記のOS上で動作しているDevice Managerエージェントは引き続き上記脆弱性の影響を受けます。Device Managerエージェントで使用するJDKを，Oracle JDK(8u181以降の最新版)へ切り替えてください。

• Red Hat Enterprise Linux 5.x
• Red Hat Enterprise Linux 6.x
• SUSE Linux Enterprise Server 11
• Oracle Unbreakable Enterprise Kernel 6.x

*5

Solaris版はサポートを終了しました。Windows版またはLinux版の対策バージョンのご利用を検討ください。

*6

Hitachi Tuning Manager - Agent for RAID，Hitachi Tuning Manager - Agent for NASおよびHitachi Tuning Manager - Agent for SAN Switchのバージョンアップも必要です。

*7

下記のOS上で動作しているHitachi Dynamic Link Managerは引き続き上記脆弱性の影響を受けます。Hitachi Command Suite 共通エージェントコンポーネントで使用するJavaを，Oracle JDKまたはJRE(8u181以降の最新版)へ切り替えてください。

• Red Hat Enterprise Linux 5.x
• Red Hat Enterprise Linux 6.x
• SUSE Linux Enterprise Server 11
• Oracle Linux 5.x
• Oracle Linux 6.x
• Oracle Unbreakable Enterprise Kernel 5.x
• Oracle Unbreakable Enterprise Kernel 6.x

*8

Analytics probe serverおよびConfiguration Manager REST APIのバージョンアップも必要です。

暫定回避策

同脆弱性が対策されているOracle JDK(8u181以降)へ変更してください。
変更手順の詳細や前提条件については，Hitachi Command Suite システム構成ガイドおよび各製品のマニュアルを参照ください(*9)。

*9

Hitachi Infrastructure Analytics Advisorについては，個別にサポート窓口にお問い合わせください。

更新履歴

2018.12.03

[対象製品]および[対策版の提供]を更新しました。

2018.10.19

[対象製品]および[対策版の提供]を更新しました。

2018.07.27

このセキュリティ情報ページを新規作成および発信しました。