2014年8月1日
(株)日立製作所 ITプラットフォーム事業本部
Apache Struts 1.xに対して、以下に示すセキュリティホールが公開されました
[新規情報]
日立ディスクアレイシステムのSVPにおける、上記 1. の脆弱性の影響は下記の通りです。
弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。
ストレージ装置 | 影響する脆弱性 |
---|---|
Hitachi Virtual Storage Platform G1000 Hitachi Virtual Storage Platform VX7 |
影響なし |
Hitachi Virtual Storage Platform Hitachi Virtual Storage Platform VP9500 |
CVE-2014-0114 |
Hitachi Unified Storage VM | CVE-2014-0114 |
Hitachi Universal Storage Platform V Hitachi Universal Storage Platform H24000 Hitachi Universal Storage Platform VM Hitachi Universal Storage Platform H20000 |
影響なし |
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。
しかしながら万一SVPが攻撃された場合、装置の構成変更設定や保守作業に支障をきたす等の可能性があります。
そのため今般、対象となる製品に対しまして、予防処置をさせていただきます。
攻撃者が、上記の脆弱性を悪用する目的で不正な HTTP 要求を、影響を受けるコンピュータに送信することにより、任意の Java コードが実行され、結果として、任意の OS コマンドや不正なプログラム実行を許してしまう可能性があります。
弊社ストレージ装置において、今回の脆弱性の影響を受けるバージョンを以下の表に示します。
ストレージ装置 | 対象SVPバージョン |
---|---|
Hitachi Virtual Storage Platform Hitachi Virtual Storage Platform VP9500 |
全てのバージョン |
Hitachi Unified Storage VM | 全てのバージョン |
上記製品において、この脆弱性を対策したソフトウェア(SVPプログラム)を提供いたします。
本セキュリティホールに関する情報