ページの本文へ

Hitachi

サーバ・クライアント製品セキュリティ情報

セキュリティ情報ID hitachi-sec-2021-226

1. 脆弱性の内容

Apache は、 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228他)に関する情報を公開しました。この脆弱性を悪用されると、リモートの攻撃者により任意のコードを実行される恐れがあります。対象製品、および詳細は、次項に記載の対象製品、およびCVEを参照してください。

2. 対象製品

製品名 形名 対象CVE 影響を受けるVersion 対策版Version
ハードウェア マネジメント コンソール
(HWMC)
THE-C7063-CR1
THE-C7042-CR9
THE-C7042-CR8
THE-C7042-CR7
THE-C7042-CR6
THE-C7042-CR5
CVE-2021-44228
*1 *2
HWMCコードバージョン
V9:V9R2M952.3未満
V8:全て
*3
HWMCコードバージョン
V9:V9R2M952.3以降
V8:なし(対策版のリリース予定はありません)
HRL3 THE-S7063-CR1HA3
THE-S7042-CR9HA3
THE-S7042-CR8HA3
THE-S7042-CR7HA3
THE-S7042-CR6HA3
THE-S7042-CR5HA3
*1
本アナウンスのリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2
関連する脆弱性CVE-2021-45046CVE-2021-45105 および CVE-2021-44832については、HWMC/HRL3では該当する機能を使用していないため、影響はありません。
*3
HWMCコードバージョンV7以下については、本脆弱性に該当するlog4j バージョン2.xを使用していないため、影響はありません。

3. 対策方法

  • HWMCコードバージョンV9の場合:HWMCコードを対策版のバージョンに更新します*4。更新作業は保守員により実施いたしますので、担当保守部署にお問い合わせください。保守員による更新作業が実施できない場合は、HWMCコードが使用するApache Log4jのJndiLookupクラス ライブラリを削除します。対策作業に関する注意事項および対策手順について、製品サポート窓口よりご案内いたします。製品サポート窓口にお問い合わせください。
  • HWMCコードバージョンV8の場合:HWMCコードが使用するApache Log4jのJndiLookupクラス ライブラリを削除します。HWMCコードバージョンV8R8.6.0SP2未満の場合は、HWMCコードをV8R8.6.0SP2にバージョンアップしてから対策手順を実施します。対策作業に関する注意事項および対策手順について、製品サポート窓口よりご案内いたします。製品サポート窓口にお問い合わせください。
*4
JndiLookupクラス ライブラリを削除する対策をすでに実施した装置については、HWMCコードの更新をしなくても、本脆弱性への影響はありません。また、2022年1月25日以降に納入した装置については、JndiLookupクラス ライブラリを削除する対策を実施済の状態で出荷していますので、本脆弱性への影響はありません。

上記対策が実施できない場合は、HWMC/HRL3を信頼できるネットワーク、またはローカルネットワークに接続してください。なお、HWMC/HRL3を停止する場合は、以下の影響があります。

- ASSIST通報による障害監視ができません。
- 系切替機構による系切替制御ができません。
- LPAR電源制御機構による電源制御ができません。
- 管理対象サーバの制御(装置電源ON/OFF、LPARの起動/停止、LPAR設定変更など)、およびログ収集ができません。

4. お問い合わせ先

製品サポート窓口にお問い合わせください。

5. 更新来歴

2022年6月17日 : 対策版バージョン、および対策方法を更新しました。
2022年1月21日 : 対象製品形名、影響を受けるバージョン、および対策方法を更新しました。
2021年12月28日 : このセキュリティ情報ページを新規作成および発信しました。

  • * 本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。