最新更新日:2013年09月30日新規掲載日:2013年02月22日
弊社Express5800シリーズご愛顧いただき、誠にありがとうございます。
Express5800シリーズのRAID管理ユーティリティ「Universal RAID Utility(以下、URUと略します)」
における脆弱性の問題について、弊社Webサイトの「NEC製品セキュリティ情報」ページを通じて
ご報告させていただいておりますが、改めて、影響範囲・対応策を以下にご案内いたします。
誠に恐れ入りますが、ご対応の程よろしくお願い申し上げます。
1. 脆弱性の内容および影響範囲
本脆弱性の詳細な内容およびURUの仕組みを理解している第三者が、悪意を持ってこれを利用した
場合に、リモートからURUがインストールされたサーバのRAIDシステムに対して操作が行われる可
能性があります。
なお、現時点で、本脆弱性により実際に問題や事故等が発生した実績はございません。
また、本脆弱性の問題により、RAIDシステム内に格納されたデータの読み出し/書き込みが行われ
ることはありません。
2. 対応策
1) URUの対策済みバージョンへのアップデート
本脆弱性の問題は、2012年8月末以降にリリースしたバージョンのURUで対策済みです。
対策済み以前のバージョンをご利用されている場合は、URUを以下の最新版にアップデートしてください。
1-1) URUアップデートモジュールの入手
a) サーバOSがWindows 2000 SP4の場合 (本体装置:120Rj-2/120Ljのみ)
URU Ver 1.40 Rev 2380以降で本脆弱性に対策済みです。対策済みの最新版は以下から入手してください。
IAサーバ用:
Windows 2000 SP4版
b) サーバOSがWindows 2003/2008、Linux、VMware ESXの場合
URU Ver 2.5 Rev 2343以降で本脆弱性に対策済みです。対策済みの最新版は以下から入手してください。
IAサーバ/WS用:
Windows版
IAサーバ/WS用:
Linux/VMware ESX用
1-2) URUアップデートモジュールの更新手順書
Windows編
Linux/VMware ESX編
1-3) URUアップデートモジュールの更新手順書 別紙 チェックリスト
(ご注意)
- 現在ご利用中のURUのバージョンは、以下の手順でご確認ください。
URUがインストールされているサーバ上で、コマンドプロンプト(Windows)またはターミナル(Linux/VMware)から以下のコマンドを実行すると、URUのバージョンが表
示されます。
> raidcmd
- URUをアップデートされる際は、既存環境からいったんアンインストールした後、改めて最新版をインストールしてください。
2) 回避策
すぐに対策済みバージョンにアップデートできない場合は、ネットワーク機器等で52805/TCPへのアクセスを制限してください。
3. 更新履歴
| 2013年 |
9月30日 |
URU Ver 2.33(Linux/VMWare版) 運用環境の確認支援ツールの改良 |
|
6月18日 |
URU更新手順書(Windows編)4版 公開 |
|
|
URU更新手順書(Linux/VMware ESX編)4版 公開 |
|
|
URU更新手順書(Windows編)4版 別紙 チェックリスト 公開 |
|
|
URU更新手順書(Linux/VMware ESX編)4版 別紙 チェックリスト 公開 |
|
4月12日 |
URU更新手順書(Windows編)3版 公開 |
|
|
URU更新手順書(Linux/VMware ESX編)2版 公開 |
|
4月1日 |
URU更新手順書(Linux/VMware ESX編)初版 公開 |
|
3月27日 |
URU更新手順書(Windows編)初版 公開 |
|
2月22日 |
新規掲載 |
※2012年12月26日 URUアップデートモジュールの公開以降アップデートモジュール自体の変更はありません。
関連情報
NEC製品セキュリティ情報
「Universal RAID Utilityにおけるアクセス制限不備の脆弱性」
製品名カテゴリ
Express5800シリーズ タワーサーバ
Express5800シリーズ ラックサーバ
Express5800/ECO CENTER
Express5800/SIGMABLADE
Express5800/InterSec
iStorage NSシリーズ
Express5800 ワークステーション
Express5800シリーズ Gモデル
-
コンテンツID:
3140105752
-
公開日:
2019年01月28日
-
最終更新日:2019年01月28日