JVNVU#97219505 (TA14-268A)
「GNU Bash に OS コマンドインジェクションの脆弱性」への富士通製品の対応について
平素は、富士通製品をご愛顧いただきまして、誠にありがとうございます。
GNU Project の Bash には、OS コマンドをリモートから実行させることができる脆弱性が存在します。
掲記脆弱性に関しまして、お問い合わせの多い製品の影響情報をご案内いたします。
一覧に無いその他の製品につきましては、各製品のページで順次ご案内していきます。
影響
| ブランド | 製品 | 影響 | 備考 |
|---|---|---|---|
| Interstage | Interstage Application Server | なし | アプリケーションの作り方によっては、OSの該当機能を利用するケースもありますので、OSのパッチ適用を推奨します。 |
| Oracle Solaris | 有り | 詳細は、以下のOracle社の公開情報(英語サイト)をご確認ください。 | |
| Red Hat Enterprise Linux | 有り | 詳細は、以下のRedHat社の公開情報(英語サイト)をご確認ください。 | |
| VMware | 有り | 詳細は、VMware社の公開情報http://kb.vmware.com/kb/2090740(英語サイト)をご確認ください。 | |
| ETERNUS SF | ETERNUS SF AdvancedCopy Manager 13(Linux版)
ETERNUS SF AdvancedCopy Manager 14(Linux版) ETERNUS SF AdvancedCopy Manager 15(Linux版) ETERNUS SF AdvancedCopy Manager 16(Linux版) ETERNUS SF Storage Cruiser 13(Linux版) ETERNUS SF Storage Cruiser 14(Linux版) ETERNUS SF Storage Cruiser 15(Linux版) ETERNUS SF Storage Cruiser 16(Linux版) ETERNUS SF Express 15(Linux版) ETERNUS SF Express 16(Linux版) | 有り | 製品での回避方法はありません。bashのパッチ適用をお願いします。 |
| ETERNUS SF Disk Space Monitor 13.x
ETERNUS SF Recovery Manager for Oracle ETERNUS SF KM ETERNUS SF TSM | なし | - | |
(注)その他の製品の影響については、各製品ホームページ等をご確認ください。
| ブランド | シリーズ | 影響 | 備考 |
|---|---|---|---|
| IPCOM | IPCOM EXシリーズ, IPCOM VXシリーズ, IPCOM VAシリーズ, IPCOM Lシリーズ, IPCOM Sシリーズ | 有り | 詳細は、以下の製品サイトをご覧ください。「GNU Bashの脆弱性(CVE-2014-6271等)に対するIPCOM製品への影響について」 |
| Catalyst | 以下のCisco社の公開情報(英語サイト)をご確認ください。 | ||
| SR-X | なし | - | |
| Si-R | なし | - | |
(注)その他の製品の影響については、各製品ホームページ等をご確認ください。
| ブランド | 製品 | 影響 | 備考 |
|---|---|---|---|
| ServerView | ServerView Agents for Linux | なし | 詳細は、以下の製品サイトをご覧ください。
[重要]GNU bash脆弱性問題の影響について(お知らせ) |
| ServerView Update Manager Express | |||
| ServerView Update Agent for Linux | |||
| ServerView Update Manager CLI for Linux | |||
| PrimeCollect for Linux |
(注)その他の製品の影響については、各製品ホームページ等をご確認ください。
| ブランド | 製品 | 影響 | 備考 |
|---|---|---|---|
| ETERNUS NR1000F series | OnCommand Balance(オプションソフト) | 有り | 対応内容が決まりしだい、お知らせします。 |
| ONTAP(OS)、その他オプションソフト | なし | - | |
| PRIMERGY関連製品 | 詳細は、以下の製品サイトをご覧ください。
[重要]GNU bash脆弱性問題の影響について(お知らせ) | ||
| PRIMEQUEST関連製品 | 詳細は、以下の製品サイトをご覧ください。
[重要]GNU bash脆弱性問題の影響について(お知らせ) | ||
| SPARC M10 | XCPファームウェア | 有り | 本製品のXCP2230版以前をご利用の場合、XSCFファームウェアにログイン可能なユーザーによる操作により本脆弱性の影響を受ける可能性があります。本製品のXCP2231版以降を適用してください |
| SPARC T3/T4 | Oracle Integrated Lights Out Manager | 有り | 以下のシステムファームウェア版数以降を適用してください。
|
| SPARC Enterprise | XCPファームウェア | 有り | 本製品のXCP1117版以前をご利用の場合、XSCFファームウェアにログイン可能なユーザーによる操作により本脆弱性の影響を受ける可能性があります。本製品のXCP1118版以降を適用してください。 |
| Oracle Integrated Lights Out Manager | 有り | 以下のシステムファームウェア版数以降を適用してください。
SPARC Enterprise
| |
| PRIMEPOWER | HCPファームウェア | なし | - |
(注)その他の製品の影響については、各製品ホームページ等をご確認ください。
問い合わせ先
- 各製品の修正情報などの入手は、FUJITSU Managed Infrastructure Service SupportDesk の契約が必要です。
各製品についてのお問い合わせは、お客様専用ホームページ[SupportDesk-Web]からお願いします。
参考情報
- US-CERT:TA14-268A:2014年9月25日公開
- JVN:JVNVU#97219505:2014年9月26日公開
- JPCERT/CC:GNU bash の脆弱性に関する注意喚起:2014年9月25日公開
- CVE:CVE-2014-6271
- CVE:CVE-2014-7169
更新履歴
- 2016年1月20日:
- ハードウェア添付のソフトウェア 「ServerView」のPRIMEQUEST情報をハードウェア関連製品と同一に更新
- 2015年3月12日:
- ハードウェア製品「SPARC T3/T4 Oracle Integrated Lights Out Manager」、「SPARC Enterprise Oracle Integrated Lights Out Manager」の情報を更新
- 2014年12月9日:
- ハードウェア製品「SPARC T3/T4 Oracle Integrated Lights Out Manager」、「SPARC Enterprise Oracle Integrated Lights Out Manager」の情報を更新
- 2014年11月11日:
- ハードウェア製品「SPARC M10 XCPファームウェア」、「SPARC Enterprise XCPファームウェア」の情報を更新
- 2014年10月30日:
- ソフトウェア製品「ETERNUS SF TSM」の情報を追加
- 2014年10月23日:
- ハードウェア製品「ETERNUS NR1000F series」の情報を更新
- 2014年10月21日:
- ハードウェア添付のソフトウェア「ServerView」に影響のないことを記載
- 2014年10月17日:
- ネットワーク製品「IPCOM」の情報を更新
- ハードウェア製品「SPARC M10 XCPファームウェア」の情報を更新
- 2014年10月9日:
- ソフトウェア製品に「ETERNUS SF」の情報を追加
- 2014年10月8日:
- ハードウェア添付のソフトウェア「ServerView」の製品情報を詳細化し、製品サイトへのリンクに変更
- ハードウェア製品の「PRIMERGY関連製品」情報を製品サイトへのリンクに変更
- ハードウェア製品に「PRIMEQUEST関連製品」情報を追加
- ハードウェア製品に「XCPファームウェア」、「Oracle Integrated Lights Out Manager」情報を追加
- 2014年10月3日:参考情報に、JPCERT/CC情報、CVE情報を追加
- 2014年10月2日:タイトルに「TA14-268A」を追加
- 2014年10月1日:
- ネットワーク製品「Catalyst」の情報を更新
- ハードウェア製品に「PRIMERGY」情報を追加
- 2014年9月30日:
- 「Red Hat Enterprise Linux」に「RHSA-2014:1311」情報を追加
- ソフトウェア製品に「VMware」、「Interstage Application Server」情報を追加
- ネットワーク製品に「IPCOMシリーズ」、「Catalyst」、「SR-X」、「Si-R」情報を追加
- ハードウェア添付のソフトウェアに「ServerView」情報を追加
- ハードウェア製品に「ETERNUS NR1000F series」情報を追加
- 2014年9月29日:ソフトウェア製品に「Oracle Solaris」情報を追加
- 2014年9月26日:新規掲載
