セキュリティ情報（2015年10月23日）

日立仮想ファイルプラットフォーム製品におけるセキュリティホール（bash）対策について

2015年10月23日
（株）日立製作所 ITプラットフォーム事業本部

オープンソースのシェルプログラムに対して、以下に示すセキュリティホールが公開されました。

シェルプログラムに、第３者によって任意のコードが実行される下記の脆弱性が存在する。
（CVE-2014-6271、CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187）

日立仮想ファイルプラットフォーム製品における、上記１．の脆弱性の影響は下記の通りです。

シェルプログラムの脆弱性により、製品の管理操作で使用されるTCPポートに不正なパケットが送信された場合に、製品内部のコマンドが不当に実行できる可能性があります。

弊社ストレージ装置における、今回の脆弱性の影響を以下に示します。

ストレージ装置	影響する脆弱性
Hitachi Essential NAS Platform Hitachi Virtual File Platform Hitachi Data Ingestor	CVE-2014-6271 CVE-2014-7169 CVE-2014-6277 CVE-2014-6278 CVE-2014-7186 CVE-2014-7187

今回の脆弱性に対策を適用したソフトウェアをリリースいたします。ソフトウェアを対策済みバージョンへアップグレードしていただけますようお願いいたします。なお、対策済みバージョンの提供は以下の通りです。これ以外のバージョン、ストレージ装置についての提供に関してはお問い合わせください。

ストレージ装置	対策済みバージョン	提供日
Hitachi Essential NAS Platform	06-03-00-32-00	2015年4月
Hitachi Virtual File Platform Hitachi Data Ingestor	4.2.3-12	2014年11月
	5.0.0-03	2015年1月
	5.0.1-01	2014年11月
	5.0.2-01	2014年11月
	5.1.0-00以降	2014年11月

攻撃者が上記の脆弱性を悪用する目的で不正なパケットを作成してストレージ装置に送信することにより、製品内部のコマンドが不当に実行され、サービスが妨害（Denial of Service）されたり、ユーザデータが漏洩・改ざんされたりする恐れがあります。

弊社ストレージ装置において、今回の脆弱性の影響を受けるバージョンを以下の表に示します。

ストレージ装置	対象バージョン
Hitachi Essential NAS Platform	06-03-00-32-00未満

本件に関する問い合せ窓口

*1: 弊社では、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、当ホームページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
*2: 当ホームページに記載されている製品には、他社開発製品が含まれております。これらのセキュリティ情報については他社から提供、または公開された情報を基にしております。弊社では、情報の正確性および完全性について注意を払っておりますが、開発元の状況変化に伴ない、当ホームページの記載内容に変更が生じることがあります。
*3: 当ホームページはセキュリティ情報の提供を目的としたものであり、法律上の責任を負うものではありません。お客様が独自に行なった（あるいは行なわなかった）セキュリティ対応その他のご行為の結果につきまして、弊社では責任を負いかねます。