ページの本文へ

Hitachi

日立仮想ファイルプラットフォーム製品におけるセキュリティホール(Netlogon)対策について

2015年10月23日
(株)日立製作所 ITプラットフォーム事業本部

1.日立仮想ファイルプラットフォーム製品に対するセキュリティホール対策のお知らせ

Windowsネットワーク互換のファイル共有サービスプログラムに対して、以下に示すセキュリティホールが公開されました。

[ 新規情報 ]

  1. Windowsネットワーク互換のファイル共有サービスプログラム の Netlogonリモートプロトコル実装は、初期化されていないスタックポインタ上で解放の操作を実行するため、任意のコードを実行される脆弱性が存在します。(CVE-2015-0240)

日立仮想ファイルプラットフォーム製品における、上記1.の脆弱性の影響は下記の通りです。

  1. 巧妙に細工された Netlogon パケットを介して、第三者により製品の任意のコードが管理者権限で実行される可能性があります。

弊社ストレージ装置における、今回の脆弱性の影響を以下に示します。

ストレージ装置 影響する脆弱性
Hitachi Virtual File Platform
Hitachi Data Ingestor
CVE-2015-0240

今回の脆弱性に対策を適用したソフトウェアをリリースいたします。ソフトウェアを対策済みバージョンへアップグレードしていただけますようお願いいたします。なお、対策済みバージョンの提供は以下の通りです。これ以外のバージョン、ストレージ装置についての提供に関してはお問い合わせください。

ストレージ装置 対策済みバージョン 提供日
Hitachi Virtual File Platform
Hitachi Data Ingestor
4.2.3-22 2015年3月
5.0.0-06 2015年3月
5.0.1-03 2015年3月
5.1.1-03 2015年3月
5.2.0-00以降 2015年4月

2.今回のセキュリティホールの特徴

本脆弱性はファイル共有サービスプログラムの「Netlogonリモートプロトコル」の実装に存在するため、様々な方法で攻撃を開始される恐れがあります。また、攻撃者は認証を必要とせずに脆弱性を抱えるコードを実行することが可能です。

3. 対象製品

弊社ストレージ装置において、今回の脆弱性の影響を受けるバージョンを以下の表に示します。

ストレージ装置 対象バージョン
Hitachi Virtual File Platform
Hitachi Data Ingestor
03-00-00-00以降、
5.2.0-00未満の全てのバージョン

本件に関する問い合せ窓口


*1
弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
*2
当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。
*3
当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった(あるいは行なわなかった)セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。