日立ディスクアレイシステムにおけるSVPのApache Log4j2の脆弱性(CVE-2021-44228)について
公開日: 2021年12月28日
(株)日立製作所 ITプロダクツ統括本部
セキュリティ情報ID
Hitachi-sec-2021-315
1.日立ディスクアレイシステムに対する脆弱性対策のお知らせ
日立ディスクアレイシステムにApache Log4j2の任意のコード実行の脆弱性(CVE-2021-44228)が存在します。
2. 対象製品
下記の製品が影響を受けます。
対象製品 |
Hitachi Virtual Storage Platform E390, E390H, E590, E590H, E790, E790H, E990
|
対象ソフトウェア |
- SVPソフトウェア(Storage Navigator)
- Export Tool2
|
対象ソフトウェアバージョン |
- SVPソフトウェア:「93-02-02-00/00」以上
- Export Tool2:すべてのバージョン
|
対象製品 |
Hitachi Virtual Storage Platform G130, G150, G350, G370, G700, G900, F350, F370, F700, F900
|
対象ソフトウェア |
- SVPソフトウェア(Storage Navigator)
- Export Tool2
|
対象ソフトウェアバージョン |
- SVPソフトウェア:「88-07-01-00/00」以上
- Export Tool2:すべてのバージョン
|
対象製品 |
Hitachi Virtual Storage Platform G100, G200, G400, G600, G800, F400, F600, F800
|
対象ソフトウェア |
SVPソフトウェア(Storage Navigator)
|
対象ソフトウェアバージョン |
SVPソフトウェア:「83-05-42-00/00」以上
|
※以下の製品は影響を受けません。
- Hitachi Virtual Storage Platform 5100, 5500, 5200, 5600, 5100H, 5500H, 5200H, 5600H
- Hitachi Virtual Storage Platform G1000, G1500, F1500, VX7
- Hitachi Virtual Storage Platform VSP, VP9500
- Hitachi Universal Storage Platform V
- Hitachi Universal Storage Platform
- Hitachi Unified Storage VM
- Hitachi Unified Storage 110, 130, 150
- Hitachi Adaptable Modular Storage, 2100, 2300, 2500
3. 対応状況
1 恒久対策
対策版ソフトウェアを準備中です。
対象機器への適用については提供準備完了次第、各製品で順次ご案内させていただきます。
2 回避策
SVPをご使用の場合:
- SVPをセキュアな環境で使用してください。
- SVPをセキュアな環境に変更できない場合は、SVPをシャットダウン*1または、SVPのStorage Navigatorサービスを停止してください。SVPのStorage Navigatorサービス停止手順の詳細等はサポートへお問合せください。
Export Tool2をご使用の場合:
- Export Tool2を使用しないでください。*2
<注意:SVPシャットダウンまたは、サービス停止時の影響>
- ストレージ管理ソフトとの連携ができなくなります。
- Encryption License Keyを鍵管理サーバ連携で使用している場合、定期バックアップ実行敗や、鍵暗号化鍵を保護する設定で使用している場合に装置電源OFF/ONを実施すると論理ボリュームが閉塞します。
- 日立遠隔保守支援システム(ASSIST)による障害監視がおこなえません。*3
- *1:
- Hitachi Virtual Storage Platform E390, E390H, E590, E590H, E790, E790Hにおいて、SVPをシャットダウンした場合、SVPとストレージ間の死活監視ができなくなるため、AlertとしてSIM=7d0c0x(GUM-SVP間通信障害)がMaintenance Utilityと各通報機能(ASSIST/SNMP/E-mail/Syslog)に報告されますが、ストレージシステムへの影響はありません。
なお、SVPのStorage Navigatorサービスを停止した場合においては、死活監視に影響はないため、本SIMは報告されません。
- *2:
- Hitachi Virtual Storage Platform G100, G200, G400, G600, G800, F400, F600, F800にExport Tool2はバンドルしていません。
- *3:
- Hitachi Virtual Storage Platform G100, G200, G400, G600, G800, F400, F600, F800のみ。
4. 本セキュリティホールに関する情報
各脆弱性の詳細については次のURLを参照してください。
注意:上記URLに記載の緩和策はお客さまで適用できません。回避策または恒久対策を適用してください。
6. 更新履歴
- 2021年12月28日: このセキュリティ情報ページを新規作成および発信しました。
- *
- 弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
- *
- 当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
- *
- 当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客さまが独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。