JP1/Automatic Job Management System 3における脆弱性

2022.01.28 更新

JP1/Baseに脆弱性(CVE-2020-1971)が存在し，JP1/Automatic Job Management System 3がその脆弱性の影響を受けます。

セキュリティ情報ID

hitachi-sec-2021-116

脆弱性の内容

JP1/Baseに脆弱性(CVE-2020-1971)が存在し，JP1/Automatic Job Management System 3がその脆弱性の影響を受けます。
なお，本脆弱性は，JP1/Automatic Job Management System 3のHTTP接続ジョブを使用した場合，かつ，接続設定ファイル内のCrlFileパラメータに証明書失効リストファイル名を指定した場合に発生する可能性があります。

影響を受けるバージョンを下記に示しますので，対策版の適用をお願いいたします。

対象製品

対象製品名 : JP1/Automatic Job Management System 3 - Manager

対象バージョン :

Windows, Linux

12-50以降, 12-10以降, 12-00以降, 11-50以降, 11-10以降, 11-00以降

対象製品名 : JP1/Automatic Job Management System 3 - Agent

対象バージョン :

Windows, Linux

12-50以降, 12-10以降, 12-00以降, 11-50以降, 11-10以降, 11-00以降

対象製品名 : JP1/Automatic Job Management System 3 - Agent Minimal Edition

対象バージョン :

Windows, Linux

12-50以降, 12-10以降, 12-00以降, 11-50以降

脆弱性が存在する製品を下記に示しますので，対策版の適用をお願いいたします。
対策版のJP1/Baseを適用することで，本件の脆弱性の対策が完了します。

対象製品名 : JP1/Base

対象バージョン :

Windows

12-50 - 12-50-01, 12-10 - 12-10-06, 12-00 - 12-00-33, 11-50 - 11-50-33, 11-10 - 11-10-31, 11-00 - 11-00-31

Linux

12-50, 12-10 - 12-10-06, 12-00 - 12-00-33, 11-50 - 11-50-33, 11-10 - 11-10-31, 11-00 - 11-00-31

対策版の提供

対象製品名 : JP1/Base

対策バージョン :

Windows, Linux

12-50-02 2021.05.07

12-10-07 2022.01.07

11-50-34 2021.10.26

対策版準備中 :

Windows, Linux

12-00-34

11-10-32

11-00-32

暫定回避策

HTTP接続ジョブの接続設定ファイルに証明書失効リストファイル名を記載する場合，GENERAL_NAMEにEDIPartyNameを含む証明書失効リストファイルを使用しないようお願いいたします。

更新履歴

2022.01.28

[対策版の提供]を更新しました。

2021.11.05

[対象製品]および[対策版の提供]を更新しました。

2021.06.25

[対象製品]および[対策版の提供]を更新しました。

2021.05.14

このセキュリティ情報ページを新規作成および発信しました。