【重要なお知らせ】
ETERNUS AX/HX series, ETERNUS NR1000 seriesにおける「Apache Log4jの脆弱性(CVE-2021-44228, CVE-2021-45046)」について
04版:2022年4月22日
富士通株式会社
平素より、ETERNUS AX/HX series, ETERNUS NR1000 series製品をご愛顧いただきまして、誠にありがとうございます。
Apache Log4jの脆弱性が報告されています (CVE-2021-44228 , CVE-2021-45046) 。以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
脆弱性の概要
概要
複数のETERNUS AX/HX series, ETERNUS NR1000 series製品にApache Log4jが組み込まれています。2.15.0よりも前のバージョンのApache Log4jは脆弱性の影響を受けやすく、この脆弱性が悪用されると、攻撃者がログメッセージやログメッセージパラメータを制御して、メッセージルックアップ置換が有効になっている場合にLDAPサーバーからロードされた任意のコードを実行できる可能性があります。
影響
この脆弱性の不正利用に成功すると、機密情報の開示、データの追加または変更、Denial of Service (DoS:サービス拒絶) につながる可能性があります。
ETERNUS AX/HX series, ETERNUS NR1000 series製品 影響状況
ETERNUS製品の掲記脆弱性の影響に関して以下の通り状況報告させて頂きます。
下記以外のソフトウェア、ファームウェアは影響ありません。
CVE-2021-44228
ETERNUS AX/HX series
製品名 | 回避策 | ソフトウェア修正 |
---|---|---|
Active IQ Unified Manager for Linux | 下記の回避策をご参照ください。 | バージョン9.10、9.9P2、9.7P2を公開しました。
下記のダウンロード方法をご参照ください。 |
Active IQ Unified Manager for Microsoft Windows | 下記の回避策をご参照ください。 | バージョン9.10、9.9P2、9.7P2を公開しました。
下記のダウンロード方法をご参照ください。 |
Active IQ Unified Manager for VMware vSphere | 下記の回避策をご参照ください。 | バージョン9.10、9.9P2、9.7P2を公開しました。
下記のダウンロード方法をご参照ください。 |
ONTAP Tools for VMware vSphere | 下記の回避策をご参照ください。 | バージョン9.8P2を公開しました。
下記のダウンロード方法をご参照ください。 |
SnapCenter Plug-in for VMware vSphere | 下記の回避策をご参照ください。 | バージョン4.6、4.5P1を公開しました。
下記のダウンロード方法をご参照ください。 |
回避策
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS AXHX series/ETERNUS ABHB series」の「重要なお知らせ」参照
■SupportDeskを未契約のお客様向け
本サイトの「ダウンロード」ページにある「ファームウェア/ソフトウェア」タブ内にある「FUJITSU Storage ETERNUS AX/HX series ソフトウェア」参照
なお、本ダウンロードは申請フォームにご登録いただいた上でURLを提供いたします。申請時には「富士通ID(登録無料)」が必要となります。
修正版ソフトウェアダウンロード方法
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS AXHX series/ETERNUS ABHB series」の「ダウンロード」からダウンロードしてください。
■SupportDeskを未契約のお客様向け
本サイトの「ダウンロード」ページにある「ファームウェア/ソフトウェア」タブ内にある「FUJITSU Storage ETERNUS AX/HX series ソフトウェア」からダウンロードしてください。
なお、本ダウンロードは申請フォームにご登録いただいた上でURLを提供いたします。申請時には「富士通ID(登録無料)」が必要となります。
ETERNUS NR1000 series
製品名 | 回避策 | ソフトウェア修正 |
---|---|---|
Active IQ Unified Manager for Linux(旧OnCommand Unified Manager) | 下記の回避策をご参照ください。 | バージョン9.9P2を公開しました。
下記のダウンロード方法をご参照ください。 |
Active IQ Unified Manager for Microsoft Windows(旧OnCommand Unified Manager) | 下記の回避策をご参照ください。 | バージョン9.9P2を公開しました。
下記のダウンロード方法をご参照ください。 |
Active IQ Unified Manager for VMware vSphere | 下記の回避策をご参照ください。 | バージョン9.9P2を公開しました。
下記のダウンロード方法をご参照ください。 |
ONTAP Tools for VMware vSphere(旧Virtual Storage Console) | 下記の回避策をご参照ください。 | バージョン9.8P2を公開しました。
下記のダウンロード方法をご参照ください。 |
SnapCenter Plug-in for VMware vSphere (旧 Netapp Data Broker (NDB)) | 下記の回避策をご参照ください。 | バージョン4.5P2を公開しました。
下記のダウンロード方法をご参照ください。 |
回避策
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS NR1000 series」の「重要なお知らせ」参照
修正版ソフトウェアダウンロード方法
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS NR1000 series」の「ダウンロード」からダウンロードしてください。
CVE-2021-45046
ETERNUS AX/HX series
製品名 | 回避策 | ソフトウェア修正 |
---|---|---|
ONTAP Tools for VMware vSphere(旧Virtual Storage Console) | 下記の回避策をご参照ください。 | バージョン9.8P2を公開しました。
下記のダウンロード方法をご参照ください。 |
SnapCenter Plug-in for VMware vSphere | 下記の回避策をご参照ください。 | バージョン4.6、4.5P1を公開しました。
下記のダウンロード方法をご参照ください。 |
回避策
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS AXHX series/ETERNUS ABHB series」の「重要なお知らせ」参照
■SupportDeskを未契約のお客様向け
本サイトの「ダウンロード」ページにある「ファームウェア/ソフトウェア」タブ内にある「FUJITSU Storage ETERNUS AX/HX series ソフトウェア」参照
なお、本ダウンロードは申請フォームにご登録いただいた上でURLを提供いたします。申請時には「富士通ID(登録無料)」が必要となります。
修正版ソフトウェアダウンロード方法
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS AXHX series/ETERNUS ABHB series」の「ダウンロード」からダウンロードしてください。
■SupportDeskを未契約のお客様向け
本サイトの「ダウンロード」ページにある「ファームウェア/ソフトウェア」タブ内にある「FUJITSU Storage ETERNUS AX/HX series ソフトウェア」からダウンロードしてください。
なお、本ダウンロードは申請フォームにご登録いただいた上でURLを提供いたします。申請時には「富士通ID(登録無料)」が必要となります。
ETERNUS NR1000 series
製品名 | 回避策 | ソフトウェア修正 |
---|---|---|
ONTAP Tools for VMware vSphere(旧Virtual Storage Console) | 下記の回避策をご参照ください。 | バージョン9.8P2を公開しました。
下記のダウンロード方法をご参照ください。 |
SnapCenter Plug-in for VMware vSphere (旧 Netapp Data Broker (NDB)) | 下記の回避策をご参照ください。 | バージョン4.5P2を公開しました。
下記のダウンロード方法をご参照ください。 |
回避策
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS NR1000 series」の「重要なお知らせ」参照
修正版ソフトウェアダウンロード方法
■SupportDeskをご契約いただいたお客様向け
「SupportDesk-Web」にある「ETERNUS NR1000 series」の「ダウンロード」からダウンロードしてください。
脆弱性に関する詳細
詳細については以下のページをご覧ください。
- Apache Log4j Security Vulnerabilities(The Apache Software Foundation)
- Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT/CC)
- CVE-2021-44228(CVE)
- CVE-2021-45046(CVE)
本内容は予告なく変更される場合があります。あらかじめご了承ください。
お問い合わせ窓口
本修正などに関しては、ご契約のサポート&サービス窓口までお問い合わせください。
ETERNUS向け保守・運用サービス「SupportDesk」
更新履歴
- 2022年1月18日影響なしが確認された製品情報を一覧から削除
一部調査状況を更新