1.日立ディスクアレイシステムに対する脆弱性対策のお知らせ
Microsoft製品に対して、以下に示す脆弱性が公開されました。
[新規情報]
- 2019 年 6 月の Adobe Flash のセキュリティ更新プログラム(ADV190015)
- Bluetooth Low Energyのアドバイザリ(ADV190016)
- 最新のサービス スタック更新プログラム(ADV990001)
- Windows Hyper-V のリモートでコードが実行される脆弱性(CVE-2019-0620,etc)
- Windows Hyper-V のサービス拒否の脆弱性(CVE-2019-0710,etc)
- Windows Hyper-V のサービス拒否の脆弱性(CVE-2019-0713)
- Windows Hyper-V のリモートでコードが実行される脆弱性(CVE-2019-0722)
- ActiveX Data Objects (ADO)のリモートでコードが実行される脆弱性(CVE-2019-0888)
- Jet データベース エンジンのリモートでコードが実行される脆弱性(CVE-2019-0904,etc)
- スクリプト エンジンのメモリ破損の脆弱性(CVE-2019-0920,etc)
- インターネットインフォメーションサービス(IIS)サーバのサービス拒否の脆弱性(CVE-2019-0941)
- Windows ALPCの特権の昇格の脆弱性(CVE-2019-0943)
- Windows イベント ビューアーの情報漏えいの脆弱性(CVE-2019-0948)
- Win32kの特権の昇格の脆弱性(CVE-2019-0960)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-0968,etc)
- Local Security Authority Subsystem Service(LSASS)のサービス拒否の脆弱性(CVE-2019-0972)
- Windows Installerの特権の昇格の脆弱性(CVE-2019-0973)
- Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性(CVE-2019-0984)
- Microsoft Speech APIのリモートでコードが実行される脆弱性(CVE-2019-0985)
- Windows User Profile Serviceの特権の昇格の脆弱性(CVE-2019-0986)
- スクリプト エンジンのメモリ破損の脆弱性(CVE-2019-0988)
- Chakraスクリプトエンジンのメモリ破損の脆弱性(CVE-2019-0989,etc)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-1023)
- スクリプトエンジンのメモリ破損の脆弱性(CVE-2019-1005)
- Windowsオーディオサービスの特権の昇格の脆弱性(CVE-2019-1007)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-1010,etc)
- Win32kの特権の昇格の脆弱性(CVE-2019-1014,etc)
- DirectXの特権の昇格の脆弱性(CVE-2019-1018)
- Windows のセキュリティ機能のバイパスの脆弱性(CVE-2019-1019)
- Windowsのサービス拒否の脆弱性(CVE-2019-1025)
- Windowsオーディオサービスの特権の昇格の脆弱性(CVE-2019-1028)
- Microsoftブラウザーのメモリ破損の脆弱性(CVE-2019-1038)
- Windowsカーネルの情報漏えいの脆弱性(CVE-2019-1039)
- Windows NTLM の改ざんの脆弱性(CVE-2019-1040)
- Comctl32 のリモートでコードが実行されるの脆弱性(CVE-2019-1043)
- Windows Network File Systemの特権の昇格の脆弱性(CVE-2019-1045)
- Windows GDIの情報漏えいの脆弱性(CVE-2019-1050)
- Windowsシェルの特権の昇格の脆弱性(CVE-2019-1053)
- Windowsタスクスケジューラの特権の昇格の脆弱性(CVE-2019-1069)
- Microsoft ブラウザーの情報漏えいの脆弱性(CVE-2019-1081)
日立ディスクアレイシステムのSVPにおける、上記(1)〜(40)の脆弱性の影響は下記の通りです。
- 本件はAdobe Flash Playerの脆弱性により、リモートでコードが実行されるというものです。本脆弱性を攻撃者が悪用するためには特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- 本件は、Bluetooth Low Energy のアドバイザリです。SVPでは、本件の対象となるBluetooth を使用しておりません。または、本件の対象となるOSを使用していません。
- 本件は、最新のサービス スタック更新プログラムです。サービス スタック更新プログラムは、Windowsの更新プログラムをインストールするコンポーネント、サービス スタックに修正プログラムを提供します。
- ホスト サーバ上の Windows Hyper-V が、ゲスト オペレーティング システム上の認証されているユーザーからの入力を適切に検証しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは、本件の対象となるWindows Hyper-V を使用しておりません。または、本件の対象となるOSを使用していません。
- 詳細:CVE-2019-0620, CVE-2019-0709
- ホスト サーバ上の Windows Hyper-V が、ゲスト オペレーティング システム上の特権を持つユーザーからの入力を適切に検証しない場合に、サービス拒否の脆弱性が存在します。SVPでは、本件の対象となるWindows Hyper-V を使用しておりません。または、本件の対象となるOSを使用していません。
- 詳細:CVE-2019-0710, CVE-2019-0711
- ホスト サーバ上の Windows Hyper-V が、ゲスト オペレーティング システム上の特権を持つユーザーからの入力を適切に検証しない場合に、サービス拒否の脆弱性が存在します。SVPでは、本件の対象となるWindows Hyper-V を使用していません。
- ホスト サーバ上の Windows Hyper-V が、ゲスト オペレーティング システム上の認証されているユーザーからの入力を適切に検証しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは、本件の対象となるWindows Hyper-V を使用していません。
- ActiveX Data Objects(ADO)がメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在します。 本脆弱性を攻撃者が悪用するためには細工されたWebサイトを開く必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows Jet データベース エンジンがメモリ内のオブジェクトを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。SVPでは、本件の対象となる Jet データベース エンジンを使用していません。
- 詳細:CVE-2019-0904, CVE-2019-0905, CVE-2019-0906, CVE-2019-0907, CVE-2019-0908, CVE-2019-0909, CVE-2019-0974
- スクリプト エンジンが Microsoft ブラウザーでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、Microsoft ブラウザーを介して特別に細工した Web サイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるMicrosoft ブラウザーを使用していません。
- 詳細:CVE-2019-0920, CVE-2019-1055, CVE-2019-1080
- オプションの要求フィルタリング機能が要求を不適切に処理した場合、Microsoft IIS Serverにサービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、リクエストフィルタリングを利用して特別に細工したリクエストをページに送信する必要があります。SVPでは本件の対象となるMicrosoft IIS Serverを使用していません。
- Windows がアドバンスト ローカル プロシージャ コール (ALPC) を適切に処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows イベント ビューアー (eventvwr.msc) が外部エンティティへの参照を含む XML 入力を不適切に解析した場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工された XML コンテンツを含むファイルを作成し、認証されたユーザーにそのファイルをインポートする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Win32k コンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windows に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- Windows GDI コンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工された文書を開くか、信頼されていない Web ページにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- 詳細:CVE-2019-0968, CVE-2019-0977, CVE-2019-1009, CVE-2019-1011, CVE-2019-1013, CVE-2019-1015, CVE-2019-1016, CVE-2019-1047, CVE-2019-1048, CVE-2019-1049
- Local Security Authority Subsystem Service (LSASS) にサービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工された認証要求をLSASSに送信する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることありません。
- Windows インストーラーが入力を適切にサニタイズせず、セキュリティで保護されていないライブラリ読み込み動作が引き起こされた場合に、Windows インストーラーに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、攻撃者がローカルで認証される必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはません。
- Windows 共通ログ ファイル システム (CLFS) ドライバーがメモリ内のオブジェクトを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Microsoft Speech API(SAPI)が音声合成(TTS)入力を正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、スクリプト言語を通じて呼び出されたTTSコンテンツを含む特別に細工された文書を開く必要があります。SVPでは本件対象となるTTSコンテンツを使用していません。または、本件の対象となるOSを使用していません。
- Windowsユーザープロファイルサービス(ProfSvc)がシンボリックリンクを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- スクリプト エンジンが Internet Explorer でメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、Internet Explorer を介して特別に細工した Web サイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるInternet Explorer を使用していません。
- Chakra スクリプト エンジンが Microsoft Edge でメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、Microsoft Edge を介して特別に細工したWeb サイトを表示する必要があります。SVPは本件の対象となるMicrosoft Edgeを使用していません。または、本件の対象となるOSを使用していません。
- 詳細:CVE-2019-0989, CVE-2019-0990, CVE-2019-0991, CVE-2019-0992, CVE-2019-0993, CVE-2019-1002, CVE-2019-1003, CVE-2019-1051, CVE-2019-1052
- Microsoft Edge でスクリプト エンジンがメモリ内のオブジェクトを適切に処理しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、Microsoft Edge を介して特別に細工したWeb サイトを表示する必要があります。SVPは本件の対象となるMicrosoft Edgeを使用していません。または、本件の対象となるOSを使用していません。
- スクリプト エンジンが Microsoft ブラウザーでメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためにはMicrosoft ブラウザーを介して特別に細工した Web サイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるMicrosoft ブラウザーを使用していません。
- Windows Audio Serviceに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPは本件の対象となるWindows Audio Serviceを使用していません。または、本件の対象となるOSを使用していません。
- Windows GDI コンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工された文書を開いたり、特別に細工されたWebサイトを表示する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-1010, CVE-2019-1012, CVE-2019-1046
- Win32k コンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windows に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 詳細:CVE-2019-1014, CVE-2019-1017
- DirectX がメモリ内のオブジェクトを正しく処理しない場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- NETLOGONメッセージがセッションキーを取得してメッセージに署名することができるセキュリティ機能のバイパスの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、攻撃者は特別に細工した認証要求を送信する必要があります。SVPでは本件の対象となるNETLOGONサービスを使用していません。
- Windowsがメモリ内のオブジェクトを正しく処理しない場合に、サービス拒否の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行したり、ネットワーク共有上の特別に細工したファイルを開く必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows Audio Serviceに特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPでは本件の対象となるWindows Audio Serviceを使用していません。
- Microsoft ブラウザーがメモリ内のオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには特別に細工したWeb サイトを閲覧する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるMicrosoft ブラウザーを使用していません。
- Windows カーネルがメモリ内のオブジェクトを適切に初期化しない場合に情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、認証された攻撃者が特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- 中間者攻撃の実行者が NTLM MIC (Message Integrity Check) 保護機能のバイパスに成功した場合に、Microsoft Windows に改ざんの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、NTLM の交換を改ざんする必要があります。本件は、Serverサービスが有効である時に脆弱性の影響を受けます。SVPではServerサービスは無効です。
- comctl32.dll がメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたWebサイトにアクセスする、または特別に細工された電子メールの添付ファイルを開かせる必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windowsネットワークファイルシステム(NFS)がメモリ内のオブジェクトを処理する方法に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したアプリケーションを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- Windows GDI コンポーネントがメモリの内容を不適切に開示するときに情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工されたWebサイトにアクセスする、または特別に細工された文書を開く必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- Windowsシェルがフォルダショートカットの検証に失敗した場合に、特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、攻撃者は被害者のシステムで特権のない実行を要求する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。
- タスクスケジューラサービスが特定のファイル操作を検証する方法に特権の昇格の脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、攻撃者は攻撃対象のシステムで特権のないコードを実行する必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるOSを使用していません。
- 影響を受ける Microsoft ブラウザーがメモリ内のオブジェクトを適切に処理しない場合に、情報漏えいの脆弱性が存在します。本脆弱性を攻撃者が悪用するためには、特別に細工したWebサイトにアクセスする必要があります。SVPはサブシステム管理専用装置であり、このような操作が行われることはありません。または、本件の対象となるMicrosoft ブラウザーを使用していません。
よって、今回公開された脆弱性については特に対策の必要はありません。
SVPは直接ストレージ機能には係わりませんので、万一攻撃者から攻撃された場合であってもストレージとしてのデータの内容およびRead/Write機能に支障はありません。また日立ディスクアレイシステムに蓄積されているデータを読み取られることもありません。