1. 日立ディスクアレイシステムに対するセキュリティホール対策のお知らせ
Microsoft製品に対して、以下に示すセキュリティホールが公開されました。
[新規情報]
- Adobe Flash Playerのセキュリティ更新プログラム(ADV190008)
- SHA-2コード署名のサポートのアドバイザリ(ADV190009)
- 最新のサービススタック更新プログラム(ADV990001)
- Windows展開サービスTFTP Serverのリモートでコードが実行される脆弱性(CVE-2019-0603)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0609)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-0614,etc)
- Jet データベースエンジンのリモートでコードが実行される脆弱性(CVE-2019-0617)
- Windows VBScriptエンジンのリモートでコードが実行される脆弱性(CVE-2019-0665,etc)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0680,etc)
- Active Directoryの特権の昇格の脆弱性(CVE-2019-0683)
- Windows Hyper-Vのサービス拒否の脆弱性(CVE-2019-0690)
- Windows Hyper-Vのサービス拒否の脆弱性(CVE-2019-0695)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0702,etc)
- Windows SMBの情報漏えいの脆弱性(CVE-2019-0703,etc)
- Chakraスクリプトエンジンの脆弱性の更新プログラム(CVE-2019-0746)
- Windowsのサービス拒否の脆弱性(CVE-2019-0754)
- MS XMLのリモートでコードが実行される脆弱性(CVE-2019-0756)
- Windows印刷スプーラーの情報漏えいの脆弱性(CVE-2019-0759)
- Internet Explorerのセキュリティ機能のバイパスの脆弱性(CVE-2019-0761)
- Microsoftブラウザーのセキュリティ機能のバイパスの脆弱性(CVE-2019-0762)
- Internet Explorerのメモリ破損の脆弱性(CVE-2019-0763)
- Comctl32のリモートでコードが実行される脆弱性(CVE-2019-0765)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0767)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0769,etc)
- Win32kの情報漏えいの脆弱性(CVE-2019-0776)
- Microsoftブラウザーのメモリ破損の脆弱性(CVE-2019-0780)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0782)
- Windows ActiveXのリモートでコードが実行される脆弱性(CVE-2019-0784)
- Win32kの特権の昇格の脆弱性(CVE-2019-0797)
- Win32kの特権の昇格の脆弱性(CVE-2019-0808)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(30)の脆弱性の影響は下記の通りです。
- 本件はAdobe Flash Playerの更新プログラムです。この更新プログラムで解決したセキュリティの脆弱性はありません。
- 本件は、Windowsの更新プログラムのSHA-2コード署名をサポートする更新プログラムです。2019年7月までに本更新プログラムをデバイスにインストールする必要があります。
- 本件は、最新のサービススタック更新プログラムです。サービススタック更新プログラムは、Windowsの更新プログラムをインストールするコンポーネント、サービススタックに修正プログラムを提供します。
- Windows展開サービスTFTP Serverがメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるWindows展開サービスTFTP Serverを使用していないため、本脆弱性の影響は受けません。
- スクリプトエンジンがMicrosoftブラウザーでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるブラウザーを使用していないため、本脆弱性の影響は受けません。
- Windows GDIコンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工された文書を開く、または信頼されていないWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0614,CVE-2019-0774
- Windows Jetデータベースエンジンがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるWindows Jetデータベースエンジンを使用していないため、本脆弱性の影響は受けません。
- VBScriptエンジンがメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0665,CVE-2019-0666,CVE-2019-0667,CVE-2019-0772
- スクリプトエンジンがInternet Explorerでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるブラウザーを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0680, CVE-2019-0783
- Active Directoryフォレストの信頼に特権の昇格の脆弱性が存在します。SVPでは本件の対象となるActive Directoryを使用していないため、本脆弱性の影響は受けません。
- ホストサーバ上のMicrosoft Hyper-Vネットワーク スイッチが、ゲストオペレーティングシステム上の認証されているユーザーからの入力を適切に検証しない場合に、サービス拒否の脆弱性が存在します。SVPでは本件の対象となるWindows Hyper-Vを使用していないため、本脆弱性の影響は受けません。
- ホストサーバ上のMicrosoft Hyper-Vが、ゲストオペレーティングシステム上の認証されているユーザーからの入力を適切に検証しない場合に、サービス拒否の脆弱性が存在します。SVPでは本件の対象となるWindows Hyper-Vを使用していないため、本脆弱性の影響は受けません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0702,CVE-2019-0755,CVE-2019-0775
- Windows SMB Serverが特定の要求を処理する方法に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはWindows SMB Serverに対して認証を受け、SMB メッセージを送信する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0703,CVE-2019-0704,CVE-2019-0821
- ChakraスクリプトエンジンがMicrosoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- Windowsがメモリ内のオブジェクトを適切に処理しない場合にサービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Microsoft XMLコアサービスパーサーがユーザー入力を処理する場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはWebブラウザーでMSXMLが起動されるように特別に細工したWebサイトをホストする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows印刷スプーラーがメモリ内のオブジェクトを適切に処理しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには標的のシステムで実行権限を獲得する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Internet Explorerが特定のURLに対する要求の正しいセキュリティゾーンを検証できない場合に、セキュリティ機能のバイパスの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Microsoftブラウザーが異なる送信元の要求を適切に処理しない場合に、セキュリティ機能のバイパスの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPでは本件の対象となるブラウザーを使用していないため、本脆弱性の影響は受けません。
- Internet Explorerがメモリ内のオブジェクトに不適切にアクセスする場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをInternet Explorerを介してホストし、ユーザーを誘導してそのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるInternet Explorerを使用していないため、本脆弱性の影響は受けません。
- Comctl32.dll がメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをInternet Explorerを介してホストし、ユーザーを誘導してそのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsカーネルがメモリ内のオブジェクトを適切に初期化しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- スクリプトエンジンがMicrosoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをMicrosoft Edgeを介してホストし、ユーザーを誘導してそのWebサイトを表示する必要があります。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0769,CVE-2019-0770,CVE-2019-0771,CVE-2019-0773
- win32kコンポーネントがカーネル情報を不適切に提供する場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにローカルでログオンするか、ローカルで認証されたユーザーが特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Microsoftブラウザーがメモリ内のオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを閲覧する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるブラウザーを使用していないため、本脆弱性の影響は受けません。
- Windowsカーネルがメモリアドレスを適切に初期化しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- ActiveXデータオブジェクトがメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
よって、今回公開された脆弱性については特に対策の必要はありません。
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。