ページの本文へ

日立グループの
製品・サービス

日立グループの
企業情報

製品使用上の注意事項

日立サーバ・ストレージ・ソフトウェア製品　「Apache Log4j2脆弱性」の影響・対応について

［JPCERT-AT-2021-0050、　JVNVU#96768815、　CVE-2021-44228］

2022年2月7日更新

1. 概要

2021/12/11に JPCERT/CCからApache Log4j2の脆弱性に関する注意喚起が発行されています。
この脆弱性に対する日立サーバ・ストレージ・ソフトウェア製品への影響・対応状況を以下に示します。

2. 影響・対応状況

(1)サーバ製品(注)

#	製品群	製品名/製品グループ	影響	対応状況
1	Blade Symphony	BS320 x6	なし	─
2		BS2000: 　標準ブレードx2-x4, 　高性能ブレードx1,x2	なし	─
3		BS500: 　520Ax1,520Hx1-x4,540Ax1,520Xx1-x3	なし	─
4		BS2500: 　標準ブレードx1,x2, 　高性能ブレードx1-x3	なし	─
5		Virtage HVM	なし	─
6	PCサーバ	RV3000 A1,A2	なし	─
7		HA8000 xL2,xM,xM1,xM2,xN,xN1,xN2	なし	─
8		HA8000V Gen10,Gen10 Plus	なし	─
9	メインフレーム	AP8800/AP8800E	なし	─
10	メインフレーム	FEP-4V	あり	FEP-4Vサーバ E4/E4エンハンスモデル製品で、以下のHWMCコードバージョンを使用するハードウェアマネージメントコンソール(HWMC) およびHRL3については影響があります。 <対象バージョン> 　- HWMCコードバージョン：V8全て詳細は下記のリンクを参照してください。 https://www.hitachi.co.jp/products/it/server/security/info/ vulnerable/hitachi_sec_2021_226.html HWMCコードバージョンV7以下は影響ありません。また、FEP-4VサーバE3モデル製品には影響はありません。
11	UNIXサーバ	EP8000	あり	EP8000サーバ製品で、以下のHWMCコードバージョンを使用するハードウェアマネージメントコンソール(HWMC) およびHRL3については影響があります。 <対象バージョン> 　- HWMCコードバージョン：V9およびV8全て詳細は下記のリンクを参照してください。 https://www.hitachi.co.jp/products/it/server/security/info/ vulnerable/hitachi_sec_2021_226.html HWMCコードバージョンV7以下は影響ありません。また、上記以外のEP8000サーバ製品には影響はありません。
12		SR24000	あり	SR24000 XP1/XP2モデル製品で、以下のHWMCコードバージョンを使用するハードウェアマネージメントコンソール(HWMC) およびHRL3については影響があります。 <対象バージョン> 　- HWMCコードバージョン：V8全て詳細は下記のリンクを参照してください。 https://www.hitachi.co.jp/products/it/server/security/info/ vulnerable/hitachi_sec_2021_226.html HWMCコードバージョンV7以下は影響ありません。また、上記以外のSR24000 XP1/XP2モデル製品、SR24000 DL1モデル製品については影響ありません。
13		HA8500	なし	─
14	周辺機器	エントリークラスディスクアレイ　BR1200,BR1250	なし	─
15		ラック用ディスプレイ、キーボード　KVM	なし	─
16		無停電電源装置UPS	あり	PowerChute Business Edition　V10.0 PowerChute Network Shutdown V4.2,V4.3 が影響あります。詳細は下記のリンクを参照してください。他のUPS製品は影響ありません。 https://www.hitachi.co.jp/products/it/server/security/info/ vulnerable/hitachi_sec_2021_225.html
17		テープライブラリ装置LTO	なし	─
18		ファイバチャネルスイッチ(HT-4990-SWxxxx)	なし	─
19		バックアップストレージ(TFxxxx/DMV)	なし	─

（注）内蔵モジュールとオプション、及びファームウェア、ドライバ、ユーティリティを含みます。
(2)ストレージ製品

#	製品群	製品名/製品グループ	影響	対応状況
1	エンタープライズストレージ	Hitachi Virtual Storage Platform 5100,5500,5200,5600 5100H,5500H,5200H,5600H,XP8 (RAID900)	なし	─
2		Hitachi Virtual Storage Platform G1000,G1500,F1500,VX7 (RAID800)	なし	─
3		Hitachi Virtual Storage Platform VSP,VP9500 (RAID700)	なし	─
4		Hitachi Universal Storage Platform V (RAID600)	なし	─
5		Hitachi Universal Storage Platform (RAID500)	なし	─
6	ミッドレンジストレージ	Hitachi Virtual Storage Platform E390,E590,E790,E990 (HM900)	あり	対策版を準備中＜該当条件＞・SVPをご使用の場合　#6(HM900):SVPバージョン「93-02-02-00/00」以上で該当いたします。　#7(HM850):SVPバージョン「88-07-01-00/00」以上で該当いたします。　#8(HM800):SVPバージョン「83-05-42-00/00」以上で該当いたします。・Export Tool2をご使用の場合　#6(HM900):全てのExport Tool2バージョンで該当いたします。　#7(HM850):全てのExport Tool2バージョンで該当いたします。　#8(HM800):対象無し(Export Tool2は製品にバンドルしておりません) ＜回避策＞・SVPをセキュアな環境で使用下さい。・SVPをセキュアな環境に変更できない場合は、　SVPをシャットダウンまたは、SVPのサービスを　停止して下さい。・Export Tool2を使用しないで下さい。＜注意:SVPシャットダウンまたは、サービス停止時の影響＞・ストレージ管理ソフトとの連携ができなくなります。・鍵管理サーバ連携機能使用時、定期バックアップ実行失敗や、　鍵暗号化鍵を保護する設定で使用している場合に　装置電源OFF/ONを実施すると論理ボリュームが閉塞します。・ASSIST通報による障害監視がおこなえません。　※ASSIST通報の対象製品は、#8(HM800)となります＜問い合わせ先＞ SVPサービス停止手順の詳細等はサポートへお問合せください。
7		Hitachi Virtual Storage Platform G130,G150,G350,G370,G700,G900 F350,F370,F700,F900 (HM850)	あり
8		Hitachi Virtual Storage Platform G100,G200,G400,G600,G800 F400,F600,F800 (HM800)	あり
9		Hitachi Unified Storage VM(HM700)	なし	─
10		Hitachi Unified Storage XXX(DF850)	なし	─
11		Hitachi Adaptable Moduler Storage2XXX(DF800)	なし	─
12	ファイルストレージ	Hitachi Virtual File Platform	なし	─
13	ファイルストレージ	Hitachi Data Ingestor	なし	─

(3)ソフトウェア製品

#	製品群	製品名/製品グループ	影響	対応状況
1	ミドルウェア	JP1	あり	JP1/VERITAS NetBackupのみ影響あり。詳細は下記のリンクを参照してください。 JP1/VERITAS NetBackup以外のJP1製品は影響ありません。 JP1/VERITAS製品における脆弱性：ソフトウェア製品セキュリティ情報：ソフトウェア：日立 (hitachi.co.jp)
2		HiRDB	なし	─
3		Cosminexus	なし	─
4		TP1	なし	─
5		Hitachi IT Operations Director	なし	─
6		EUR	なし	─
7		Hitachi Report for SVF Hitachi Report for SPA	なし	─
8		DataStage QualityStage	あり	最新の対応状況につきましては、次のIBM社サイトをご確認ください。 Security Bulletin: A vulnerability in Apache Log4j affects IBM InfoSphere Information Server (CVE-2021-44228) Security Bulletin: IBM InfoSphere Information Server is vulnerable to denial of service and arbitrary code execution due to Apache Log4j (CVE-2021-45105, CVE-2021-45046) Log4j library vulnerabilities in License Metric Tool
9	ストレージ管理ソフトウェア	HCS(Hitachi Command Suite)	あり	Hitachi Device Manager、Hitachi Automation Directorのみ影響あり。詳細は下記のリンクを参照してください。上記以外のHCS製品は影響ありません。 Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Storage Advisor, Hitachi Ops Center Analyzer, Hitachi Ops Center AutomatorおよびHitachi Ops Center Administratorにおける脆弱性：ソフトウェア製品セキュリティ情報：ソフトウェア：日立
10		Hitachi Ops Center	あり	Hitachi Ops Center Automatorのみ影響あり。詳細は下記のリンクを参照してください。上記以外のHitachi Ops Center製品は影響ありません。 Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Storage Advisor, Hitachi Ops Center Analyzer, Hitachi Ops Center AutomatorおよびHitachi Ops Center Administratorにおける脆弱性：ソフトウェア製品セキュリティ情報：ソフトウェア：日立
11		ストレージプラグイン	あり	Hitachi Storage Plug-in for VMware vCenterのみ影響あり。詳細は下記のリンクを参照してください。上記以外のストレージプラグイン製品は影響ありません。 Hitachi Storage Plug-in for VMware vCenterにおける脆弱性：ソフトウェア製品セキュリティ情報：ソフトウェア：日立
12	プラットフォーム	VMware	あり	次のVMware社サイトから、対象製品および各製品ごとの対策方法をご確認ください。 VMware Security Advisories - VMSA-2021-0028
13		Citrix	あり	最新の対応状況につきましては、次のCitrix社サイトをご確認ください。 Citrix Security Advisory for Apache CVE-2021-44228 and CVE-2021-45046
14		HP-UX	なし	HP-UXには、影響はありません。最新の調査状況につきましては次のHPE社サイトをご確認ください。 Document - Notice: (Revision) Apache Software Log4j - Security Vulnerabilities (CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105) Hewlett Packard Enterprise Product Security Vulnerability Alerts Apache Software Log4j (CVE-2021-44228)
15		Windows	なし	Windows OSの標準コンポーネントでは Apache Log4j を使用していないため、影響はありません。最新の対応状況につきましては、次のMicrosoft社サイトをご確認ください。 CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応 Microsoft’s Response to CVE-2021-44228 Apache Log4j 2
16		OpenShift	あり	次のRed Hat社サイトから、対象製品および各製品ごとの対策方法をご確認ください。 https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
17		Red Hat Enterprise Linux 8 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux 6	なし	─
18		AIX	なし	─

3. 問い合わせ先

お問い合わせは、各製品のサポート契約をご確認の上、日立ソリューションサポートセンタのサポート窓口にお問い合わせください。

4. 更新履歴

2022/2/7: ・(3)ソフトウェア製品を更新(#14 HP-UXの影響と対応状況を更新)しました。

2022/1/26: ・(3)ソフトウェア製品を更新(#8 DataStage、QualityStage追加)しました。

2022/1/21: ・(1)サーバ製品を更新(#10:メインフレーム　FEP-4V　調査中→あり　対応状況更新、#11:EP8000　対応状況更新、#12:SR24000　調査中→あり　対応状況更新)しました。

2021/12/28: ・(1)サーバ製品を更新(#11:メインフレーム　FEP-4Vモデル追加 (調査中)、#12:EP8000　調査中→あり　対応状況追記 (アドバイザリ本日公開)、#13:SR24000　対応状況追記 (調査状況)、#17:UPS　調査中→あり　対応状況追記 (アドバイザリ本日公開)、・注記を追加)しました。

2021/12/23: ・(1)サーバ製品を更新(#14 エントリークラスディスクアレイ,#19 バックアップストレージに機種追加)しました。

2021/12/22: ・(1)サーバ製品を更新(#10 AP10000を更新)しました。; ・(3)ソフトウェア製品を更新(#6:EUR,#7:Hitachi Report for SVF、Hitachi Report for SPAを追加)しました。

2021/12/21: ・(1)サーバ製品を更新(#9 AP8800/AP8800Eを追加)しました。

2021/12/17: ・(2)ストレージ製品を更新(#6,#7,#8影響、対応状況を更新)しました。; ・(3)ソフトウェア製品を更新(#1,#6,#7,#8影響、対応状況を更新)しました。; ・(3)ソフトウェア製品を更新(プラットフォーム製品に#10,#11,#12,#13,#14,#15 追加)しました。

2021/12/16: ・(3)ソフトウェア製品を更新(Hitachi IT Operations Director追加)しました。

2021/12/15: ・新規作成および公開しました。

当ホームページに記載されている製品には、他社開発製品が含まれています。これらの情報については他社から提供、または公開された情報を基にしています。弊社では、情報の正確性および完全性について注意を払っていますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。

ページの先頭へ