1. 日立ディスクアレイシステムに対するセキュリティホール対策のお知らせ
Microsoft製品に対して、以下に示すセキュリティホールが公開されました。
[新規情報]
- Adobe Flash Playerのセキュリティ更新プログラム(ADV190011)
- 最新のサービススタック更新プログラム(ADV990001)
- Windows TCP/IPの情報漏えいの脆弱性(CVE-2019-0688)
- Windowsの特権の昇格の脆弱性(CVE-2019-0730,etc)
- Windowsのセキュリティ機能のバイパスの脆弱性(CVE-2019-0732)
- Windows CSRSSの特権の昇格の脆弱性(CVE-2019-0735)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0739)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0752,etc)
- Microsoftブラウザーの改ざんの脆弱性(CVE-2019-0764)
- MS XMLのリモートでコードが実行される脆弱性(CVE-2019-0790)
- MS XMLのリモートでコードが実行される脆弱性(CVE-2019-0791,etc)
- OLEオートメーションのリモートでコードが実行される脆弱性(CVE-2019-0794)
- Windowsの特権の昇格の脆弱性(CVE-2019-0796)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-0802,etc)
- Win32kの特権の昇格の脆弱性(CVE-2019-0803)
- Chakraスクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0806,etc)
- Microsoftスクリプトエンジンの情報漏えいの脆弱性(CVE-2019-0835)
- Windowsの情報漏えいの脆弱性(CVE-2019-0838)
- Windowsの情報漏えいの脆弱性(CVE-2019-0839)
- Windows VBScriptエンジンのリモートでコードが実行される脆弱性(CVE-2019-0842)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-0844)
- Windows IoleCvtインターフェイスのリモートでコードが実行される脆弱性(CVE-2019-0845)
- Jetデータベースエンジンのリモートでコードが実行される脆弱性(CVE-2019-0846,etc)
- Win32kの情報漏えいの脆弱性(CVE-2019-0848)
- GDI+のリモートコードが実行される脆弱性(CVE-2019-0853)
- Windowsのリモートコードが実行される脆弱性(CVE-2019-0856)
- Win32kの特権の昇格の脆弱性(CVE-2019-0859)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(27)の脆弱性の影響は下記の通りです。
- 本件はAdobe Flash Playerの脆弱性により、リモートでコードが実行されるまたは、情報漏えいが起こるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件は、最新のサービススタック更新プログラムです。サービススタック更新プログラムは、Windowsの更新プログラムをインストールするコンポーネント、サービススタックに修正プログラムを提供します。
- Windows TCP/IPスタックが断片化されたIPパケットを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工した断片化されたIPパケットをリモートのWindowsコンピューターに送信する必要があります。SVPでは、本件の対象となるOSを使用しており、本脆弱性の影響を受けます。
- WindowsがLUAFVドライバー(luafv.sys)に対する呼び出しを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0730,CVE-2019-0731,CVE-2019-0805,CVE-2019-0836
- WindowsがLUAFVドライバー(luafv.sys)に対する呼び出しを正しく処理しない場合に、攻撃者にDevice Guardをバイパスすることを許可する可能性のあるセキュリティ機能のバイパスの脆弱性がWindowsに存在します。本脆弱性を攻撃者が悪用するためにはローカルコンピューターにアクセスし、悪意のあるプログラムを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsクライアント/サーバランタイムサブシステム(CSRSS)がメモリ内のオブジェクトの適切な処理に失敗した場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンし特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- スクリプトエンジンがMicrosoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるMicrosoft Edge使用していないため、本脆弱性の影響は受けません。
- スクリプトエンジンがInternet Explorerでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトをホストし、そのWebサイトを表示するようにユーザーを誘導する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるInternet Explorerを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0752,CVE-2019-0753,CVE-2019-0862
- 特定の状況で Microsoftブラウザーが入力を適切に検証しない場合に、改ざんの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となる Microsoftブラウザーを使用していないため、本脆弱性の影響は受けません。
- Microsoft XMLコアサービス(MSXML)パーサーがユーザー入力を処理する場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Microsoft XMLコアサービス(MSXML)パーサーがユーザー入力を処理する場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0791,CVE-2019-0792,CVE-2019-0793,CVE-2019-0795
- OLE オートメーションがメモリ内のオブジェクトを不適切に処理する場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトへアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- WindowsがLUAFVドライバー(luafv.sys)に対する呼び出しを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows GDIコンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工された文書を開たり、Webページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-0802,CVE-2019-0849
- Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- ChakraスクリプトエンジンがMicrosoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0806,CVE-2019-0810,CVE-2019-0812,CVE-2019-0860,CVE-2019-0861
- スクリプトエンジンがメモリ内のオブジェクトを適切に処理しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトへアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるInternet Explorerを使用していないため、本脆弱性の影響は受けません。
- WindowsタスクスケジューラがWindows資格情報マネージャーに不適切に資格情報を開示した場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- ターミナルサービスコンポーネントがメモリの内容を適切に開示しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- VBScriptエンジンがメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトへアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsカーネルがメモリ内のオブジェクトを適切に処理しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- IOleCvtインターフェイスがASP Webページのコンテンツをレンダリングする場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWebサイトへアクセスする必要があります。VPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows Jetデータベースエンジンがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるWindows Jetデータベースエンジンを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0846,CVE-2019-0847,CVE-2019-0851,CVE-2019-0877,CVE-2019-0879
- win32kコンポーネントがカーネル情報を不適切に提供する場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows Graphics Device Interface (GDI)がメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたアプリケーションを実行するまたは、特別に細工したWebサイトにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、Windows Remote Registry Serviceを介して接続し、任意のコードを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、システムにログオンし、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。
キャプションを入れてください。
ストレージ装置 |
影響する脆弱性 |
Hitachi Unified Storage VM (HUS VM) |
CVE-2019-0688 |
Hitachi Virtual Storage Platform G1000, G1500
Hitachi Virtual Storage Platform F1500
Hitachi Virtual Storage Platform VX7
|
Hitachi Virtual Storage Platform
Hitachi Virtual Storage Platform VP9500
|
- |
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。
しかしながら万一SVPが攻撃された場合、装置の構成変更設定や保守作業に支障をきたす等の可能性があります。
そのため今般、対象となる製品に対しまして、予防処置をさせていただきます。