1. 概要
2021年6月、Microsoft社より、分散コンポーネントオブジェクトモデル(DCOM)に存在する脆弱性に対応するためのセキュリティ更新プログラムが公開されました。
DCOMは、Windowsデバイスだけではなく、非Windowsデバイスにも実装されており、全ての機器において認証のセキュリティを強化する必要があります。
そのため、脆弱性対策は、ユーザが互換性を検証しながら対策を適用できるように、段階的にリリースされるものとなります。
この脆弱性対策では、段階的に認証セキュリティが強化され、最終的には認証レベルを満たさない機器は強制的に接続ができなくなります。
また、この脆弱性対策により一部の日立ミドルウェア製品の通信でエラーが発生する場合があります。
本ページでは、DCOMの脆弱性(CVE-2018-0886)の対策により影響を受ける日立ミドルウェア製品とその対処方法についてアナウンスいたします。
2. 対応
脆弱性の対策を適用するには、すべてのWindowsデバイス(DCOMクライアントとDCOMサーバの両方)に、2021年8月以降のセキュリティ更新プログラムを適用してください。
詳細については、次のMicrosoftガイダンスの"[4]必要となる作業"をご参照ください。
[IT管理者向け] DCOM の脆弱性 (CVE-2021-26414) に対応するためのガイダンス
一部のデバイスのみに2021年8月以降のセキュリティ更新プログラムを適用した場合、デバイス間の通信でエラーが発生する場合がありますので、
システムへの影響を回避するため、必ずすべてのWindowsデバイスに更新プログラムを適用するようにお願いします。
尚、すべてのデバイスにセキュリティ更新プログラムを適用した環境においても、影響を受ける日立ミドルウェア製品がございます。
影響を受ける日立ミドルウェア製品については、「3.影響製品および対処方法」をご確認ください。
4. 今後の予定
段階的な脆弱性の対策は、以下のスケジュールでリリースされます。
2021年6月:セキュリティ強化が既定で"無効"。レジストリキーに使用して有効にできる。
2022年6月:セキュリティ強化が既定で"有効"。レジストリキーに使用して無効にできる。
2023年3月:セキュリティ強化が既定で"有効"。変更を無効にできない。
上記の通り、2022年6月のセキュリティ更新プログラムを適用すると、セキュリティ強化(認証セキュリティ強化)が強制的に有効になります。
詳細については、次のMicrosoftガイダンスをご参照ください。
[IT管理者向け] DCOM の脆弱性 (CVE-2021-26414) に対応するためのガイダンス
5. 問い合わせ先
お問い合わせは、各製品のサポート契約をご確認の上、日立ソリューションサポートセンタのサポート窓口にお問い合わせください。
7. 更新履歴
- 2022/7/27
- ・MS社公開情報の内容に合わせてスケジュールを更新しました。
- 2022/2/10
- ・新規作成および公開しました。
- 当ホームページに記載されている製品には、他社開発製品が含まれています。これらの情報については他社から提供、または公開された情報を基にしています。弊社では、情報の正確性および完全性について注意を払っていますが、開発元の状況変化に伴い、当ホームページの記載内容に変更が生じることがあります。
- 記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。