1.日立ディスクアレイシステムに対する脆弱性対策のお知らせ
Microsoft製品に対して、以下に示す脆弱性が公開されました。
[新規情報]
- 2019 年 5 月の Adobe Flashのセキュリティ更新プログラム(ADV190012)
- マイクロアーキテクチャデータサンプリングの脆弱性を軽減するためのマイクロソフトガイダンス(ADV190013)
- 最新のサービススタック更新プログラム(ADV990001)
- Windows NDISの特権の昇格の脆弱性(CVE-2019-0707)
- リモートデスクトップサービスのリモートでコードが実行される脆弱性(CVE-2019-0708)
- Diagnostic Hub Standard Collector、Visual Studio Standard Collectorの特権の昇格の脆弱性(CVE-2019-0727)
- Windows Defenderアプリケーション制御のセキュリティ機能のバイパスの脆弱性(CVE-2019-0733)
- Windowsの特権の昇格の脆弱性(CVE-2019-0734)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-0758)
- .NET Framework と .NET Coreのサービス拒否の脆弱性(CVE-2019-0820)
- Windowsエラー報告の特権の昇格の脆弱性(CVE-2019-0863)
- .NET Frameworkのサービス拒否の脆弱性(CVE-2019-0864)
- Windowsカーネルの特権の昇格の脆弱性(CVE-2019-0881)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-0882, etc)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0884, etc)
- Windows OLEのリモートでコードが実行される脆弱性(CVE-2019-0885)
- Jetデータベースエンジンのリモートでコードが実行される脆弱性(CVE-2019-0889, etc)
- GDI+ のリモートコードが実行される脆弱性(CVE-2019-0903)
- Chakraスクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0912, etc)
- Internet Explorerのなりすましの脆弱性(CVE-2019-0921)
- Internet Explorerの情報漏えいの脆弱性(CVE-2019-0930)
- Windowsの特権の昇格の脆弱性(CVE-2019-0936)
- Microsoft Edgeの特権の昇格の脆弱性(CVE-2019-0938)
- Microsoftブラウザーのメモリ破損の脆弱性(CVE-2019-0940)
- 統合書き込みフィルターの特権の昇格の脆弱性(CVE-2019-0942)
- .NET Frameworkと .NET Coreのサービス拒否の脆弱性(CVE-2019-0980, etc)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(26)の脆弱性の影響は下記の通りです。
- 本件はAdobe Flash Playerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 本件は、マイクロアーキテクチャデータサンプリングの脆弱性により、情報漏えいが起こるというものです。SVPでは、本件の対象となるCPUを使用しておりませんので、本脆弱性の影響は受けません。
- 本件は、最新のサービススタック更新プログラムです。サービススタック更新プログラムは、Windowsの更新プログラムをインストールするコンポーネント、サービススタックに修正プログラムを提供します。
- バッファーにメモリをコピーする前に、ndis.sysがバッファー長をチェックできない場合に、Network Driver Interface Specification (NDIS) に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、自分の特権レベルを昇格するように特別に細工されたアプリケーションを実行する可能性があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 認証されていない攻撃者が RDPを使用して標的のシステムに接続し、特別に細工された要求を送信する場合、リモートデスクトップサービス (旧称ターミナル サービス) にリモートでコードが実行される脆弱性が存在します。SVPでは、本件の対象となるOSを使用しており、本脆弱性の影響を受けます。
- Diagnostics Hub Standard CollectorまたはVisual Studio Standard Collectorが任意の場所でのファイル削除を許可している場合に、特権の昇格の脆弱性が存在します。SVPでは、本件の対象となるDiagnostics Hub Standard CollectorまたはVisual Studio Standard Collectorを使用していないため、本脆弱性の影響は受けません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windows Defenderアプリケーション制御 (WDAC) に、攻撃者がWDACの強制をバイパスする可能性があるセキュリティ機能のバイパスの脆弱性が存在します。この脆弱性を悪用するために、攻撃者は、まずローカルコンピューターにアクセスし、PowerShellをConstrained Languageモードに設定する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 中間者攻撃を行う攻撃者がKerberosを使用して認証要求のデコードと置き換えに成功し、攻撃者が管理者として認証される可能性がある場合に、Microsoft Windowsに特権の昇格の脆弱性が存在します。SVPでは本件の対象となるKerberosを用いた認証要求を実施していないため、本脆弱性の影響は受けません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windows GDIコンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工された文書を開たり、Webページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- .NET Frameworkと .NET Coreが正規表現文字列を正しく処理しない場合にサービス拒否の脆弱性が存在します。脆弱性を攻撃者が悪用するためには.NET Framework (または .NET Core) アプリケーションに対して特別に細工された要求を出す必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windowsエラー報告 (WER) がファイルを処理する方法に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、標的のシステムで特権のない実行権を獲得する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- .NET Frameworkがヒープメモリ内のオブジェクトを適切に処理しない場合にサービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、攻撃者は影響を受けるシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windowsカーネルがキーの列挙を正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windows GDIコンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工された文書を開たり、Web ページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0882, CVE-2019-0961
- スクリプトエンジンが Microsoftブラウザーでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したWebサイトをホストし、そのWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるInternet Explorerを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0884, CVE-2019-0911, CVE-2019-0918
- Microsoft Windows OLEがユーザー入力を適切に検証しない場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたファイルまたはプログラムを開く必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windows Jetデータベースエンジンがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは本件の対象となるWindows Jetデータベースエンジンを使用していないため、本脆弱性の影響は受けません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0889, CVE-2019-0890, CVE-2019-0891, CVE-2019-0893, CVE-2019-0894, CVE-2019-0895, CVE-2019-0896, CVE-2019-0897, CVE-2019-0898, CVE-2019-0899, CVE-2019-0900, CVE-2019-0901, CVE-2019-0902
- Windows Graphics Device Interface (GDI) がメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工された文書を開たり、Webページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- ChakraスクリプトエンジンがMicrosoft Edgeでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたURLをクリックする必要があります。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0912, CVE-2019-0913, CVE-2019-0914, CVE-2019-0915, CVE-2019-0916, CVE-2019-0917, CVE-2019-0922, CVE-2019-0924
- Internet ExplorerがURLを不適切に処理する場合に、なりすましの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたWebサイトにアクセスし、Webサイトのコンテンツを操作する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるInternet Explorerを使用していないため、本脆弱性の影響は受けません。
- Internet Explorerがメモリ内のオブジェクトを正しく処理しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたWebページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windowsが特定のシンボリックリンクを正しく処理しない場合に、Microsoft Windowsに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、システムにログオンして特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Microsoft Edgeに、攻撃者がブラウザーのAppContainerサンドボックスからエスケープすることができる特権の昇格の脆弱性が存在します。SVPでは本件の対象となるMicrosoft Edgeを使用していないため、本脆弱性の影響は受けません。
- Microsoftブラウザーがメモリ内のオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したWebサイトをホストし、そのWebサイトを閲覧する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- Windows 10の統合書き込みフィルター (UWF) 機能で、レジストリへのアクセスを正しく制限していない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、統合書き込みフィルター (UWF) を利用して影響を受けるシステムにログオンし、レジストリエディターにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- .NET Frameworkまたは .NET CoreがWeb要求を正しく処理しない場合にサービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには.NET Framework (または .NET Core) アプリケーションに対して特別に細工された要求を出す必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していないため、本脆弱性の影響は受けません。
- 詳細:CVE-2019-0980, CVE-2019-0981
弊社ストレージ装置における、今回の脆弱性の影響を以下の表に示します。
キャプションを入れてください。
ストレージ装置 |
影響する脆弱性 |
Hitachi Unified Storage VM (HUS VM) |
CVE-2019-0708 |
Hitachi Virtual Storage Platform G1000, G1500
Hitachi Virtual Storage Platform F1500
Hitachi Virtual Storage Platform VX7
|
Hitachi Virtual Storage Platform
Hitachi Virtual Storage Platform VP9500
|
Hitachi Universal Storage Platform V
Hitachi Universal Storage Platform VM
|
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。
しかしながら万一SVPが攻撃された場合、装置の構成変更設定や保守作業に支障をきたす等の可能性があります。
そのため今般、対象となる製品に対しまして、予防処置をさせていただきます。