1. 日立ディスクアレイシステムに対するセキュリティホール対策のお知らせ
Microsoft製品に対して、以下に示すセキュリティホールが公開されました。
[新規情報]
- デジタル証明書が誤って開示されたことについてのアドバイザリ(ADV180029)
- Adobe Flash Playerの脆弱性の更新プログラム(ADV180030)
- Adobe Flash Playerの脆弱性の更新プログラム(ADV180031)
- Windowsカーネルの脆弱性の更新プログラム(CVE-2018-8477)
- リモートプロシージャコールランタイムの脆弱性の更新プログラム(CVE-2018-8514)
- .NET Frameworkの脆弱性の更新プログラム(CVE-2018-8517)
- .NET Frameworkの脆弱性の更新プログラム(CVE-2018-8540)
- Windows GDIの脆弱性の更新プログラム(CVE-2018-8595,etc)
- 診断ハブ標準コレクターサービスの脆弱性の更新プログラム(CVE-2018-8599)
- Windowsカーネルの脆弱性の更新プログラム(CVE-2018-8611)
- Chakraスクリプトエンジンの脆弱性の更新プログラム(CVE-2018-8617,etc)
- Internet Explorerの脆弱性の更新プログラム(CVE-2018-8619)
- Windowsカーネルの脆弱性の更新プログラム(CVE-2018-8621,etc)
- Windows VBScriptエンジンの脆弱性の更新プログラム(CVE-2018-8625)
- Internet Explorerの脆弱性の更新プログラム(CVE-2018-8631)
- Microsoft 音声合成の脆弱性の更新プログラム(CVE-2018-8634)
- Win32kの脆弱性の更新プログラム(CVE-2018-8639)
- Windowsカーネルモードドライバーの脆弱性の更新プログラム(CVE-2018-8641)
- スクリプトエンジンの脆弱性の更新プログラム(CVE-2018-8643)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(19)の脆弱性の影響は下記の通りです。
- 本件はSennheiser HeadSetupおよびHeadSetup Proソフトウェアにより、デジタル証明書が誤って開示されたため、なりすましが起こるというものです。SVPでは本件の対象となるSennheiser HeadSetupおよびHeadSetup Proソフトウェアを使用していないため、影響は受けません。
- 本件はAdobe Flash Playerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はAdobe Flash Playerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はWindowsカーネルの脆弱性により、情報漏えいが起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はリモートプロシージャコールランタイムの脆弱性により、情報漏えいが起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件は.NET Frameworkの脆弱性により、サービス拒否が起こるというものです。本脆弱性を攻撃者が悪用するためには認証されていないリモートの攻撃者が特別に細工された要求を.NETアプリケーションに発行する必要があります。SVPはサブシステム管理専用装置であり、.NETアプリケーションを使用していません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件は.NET Frameworkの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには、.Netメソッドを利用して特定の入力を.NETアプリケーションに渡す必要があります。SVPはサブシステム管理専用装置であり、.NETアプリケーションを使用していません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はWindows GDIの脆弱性により、情報漏えいが起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工された文書を開く、または信頼されていないWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2018-8595,CVE-2018-8596
- 本件は診断ハブ標準コレクターサービスの脆弱性により、特権の昇格が起こるというものです。本脆弱性を攻撃者が悪用するためには特権のないアクセス権で診断ハブ標準コレクターサービスに特定のファイル操作をする必要があります。SVPはサブシステム管理専用装置であり、診断ハブ標準コレクターサービスを起動することはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はWindowsカーネルの脆弱性により、特権の昇格が起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はChakraスクリプトエンジンの脆弱性により、リモートでコードが実行されるというものです。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2018-8617,CVE-2018-8629
- 本件はInternet Explorerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はWindowsカーネルの脆弱性により、情報漏えいが起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2018-8621,CVE-2018-8622
- 本件はWindows VBScriptエンジンの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はInternet Explorerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はMicrosoft音声合成の脆弱性により、リモートでコードが実行されるというものです。SVPでは本件の対象となるMicrosoft音声合成を使用していないため、本脆弱性の影響は受けません。
- 本件はWin32kの脆弱性により、特権の昇格が起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はWindowsカーネルモードドライバーの脆弱性により、特権の昇格が起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件はスクリプトエンジンの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。このため、SVPでは本脆弱性の影響は受けません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
よって、今回公開された脆弱性については特に対策の必要はありません。
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。