サーバ製品におけるEmulex HBA Managerの脆弱性(CVE-2021-42772他)について

2022年3月4日更新

セキュリティ情報ＩＤ　hitachi-sec-2022-203

1. 脆弱性の内容

Emulex HBA Managerにおいてリモートでのバッファオーバーフロー、情報漏えい、情報改ざんなどの複数の脆弱性が見つかりました。
対象製品、および詳細は、次項に記載の対象製品、およびCVEを参照してください。


製品名	モデル	対象製品	CVE	影響を受けるバージョン	対策版バージョン
日立アドバンストサーバ HA8000Vシリーズ	DL20 Gen10, DL360 Gen10, DL380 Gen10, DL580 Gen10, ML350 Gen10, DL360 Gen10 Plus, DL380 Gen10 Plus	Emulex HBA Manager	CVE-2021-42772 CVE-2021-42773 CVE-2021-42774 CVE-2021-42775 ^*1	Emulex HBA Manager バージョン： 12.8.351.0 ^*2	Emulex HBA Manager バージョン： 12.8.613.0 以降

*1: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
*2: これらの脆弱性は、Emulex HBA Managerをリモート管理可能なモード(「Strictly Local Management」以外のモード)に設定している場合のみ対象になります。
Windows環境でお使いの場合は、インストール時に「Full Management」モードが自動的に設定されるため必ず対象になります。
RHEL環境でお使いの場合は、インストール時に「Strictly Local Management」以外のモードを選択した場合に対象になります。インストール時に「Strictly Local Management」モードを選択した場合は対象になりません。

「Strictly Local Management」以外のモードに設定している場合、下記の手順で「Strictly Local Management」モードに変更してください。

GUIから変更する場合 (Windows環境とRHEL環境で対応。)：
HBA Managerアプリケーションを起動し、「File」タブ > 「Management Mode」を選択後、「Strictly Local Management」にチェックをいれて、「OK」を押してください。
その後、設定を反映するためにアプリケーションを一度閉じてから再起動してください。
CLIから変更する場合 (RHEL環境のみ対応。Windows環境の場合はGUIから変更してください。)：
以下のコマンドを実行し、「1. Strictly Local Management」を選択してください。
# /usr/sbin/ocmanager/set_operating_mode

対象のユーティリティを対策版バージョンにアップデートしてください。
対策版バージョンのユーティリティは次の日立Webページよりダウンロードしてください。
対策版バージョンのユーティリティをダウンロードの上、ダウンロードページを参照し対策版バージョンのユーティリティを適用してください。

製品サポート窓口にお問い合わせください。

2022年3月4日：対象製品に対策版バージョンを追加し、対策方法を追加しました。
2022年2月2日：このセキュリティ情報ページを新規作成および発信しました。