2018年10月15日
FileZenのための緊急パッチ(V4.2.2)適用のお願い
FileZenに危険度が高い脆弱性を含む複数の脆弱性が存在することが判明いたしました。
ここに、この概要を記します。
既に保守ユーザー様へは連絡済み(※1)ではありますが、
ご利用のFileZenをV4.2.2へ必ずアップデートしてくださいますよう、改めてお願い申し上げます。
1. 対象製品 適用対象バージョン
FileZen V3.0.0からV4.2.1までの各バージョン
2. 確認された主な脆弱性と影響
(1) 確認された主な脆弱性
・FileZenにログインせず、不正に任意のファイルをアップロードできる脆弱性 (CVE-2018-0693)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 9.1
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:N 基本値: 9.4
・コマンドインジェクションの脆弱性 (CVE-2018-0694)
CVSS v3 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:C 基本値: 10.0
なお、本件は、JPCERT/CC及びIPAへ報告済みです。
(2) 脆弱性の影響
(1)に記載した脆弱性を組み合わせることにより、リモートから任意のコマンドを実行することが可能です。
これらの脆弱性を利用した攻撃が成立した場合、
FileZenにアップロードしたファイルが窃取される、踏み台にされ、
さらなる攻撃に悪用されるなどの可能性があります。
3. 脆弱性への対処方法
FileZenへ緊急パッチ(V4.2.2)を適用する
(FileZen V3.0.0からV4.2.1までの各バージョンのままでは回避できません。)
4. FileZen V4.2.2追加機能 ~ 監視ログ出力機能の追加
未知の脆弱性等によるFileZenへの不正な攻撃検知にご活用いただける、
以下のような監視ログ出力機能を追加いたしました。
本機能が出力するログは、外部Syslogサーバーに送信することができます。
・起動用パーティションのファイルスタンプ、および、SHA256ハッシュ値
・起動後、新たに検知したプロセス
・ネットワークI/O、FileZenの通信先、ファイル操作
・CPU、メモリ、ディスクの状態
保守契約ユーザー様向けに本ログに関してのFAQを用意してあります。
FAQサイトにログオンの上、FAQ番号 10695 で検索ください。
5. アップデートに関するご注意事項
(1) V4.0.x/V4.2.xをご利用の場合
緊急パッチを適用することで、直接V4.2.2へアップデートできます。
アップデート手順はV4.2.2のリリースノートをご参照ください。
(2) V3.0.xをご利用の場合
ご注意:V4.0以降では、メインストレージに外部ストレージを利用し、
「CIFS」を使用する構成を推奨しておりません。(※2)
【V3.0.15の場合】
1) V3.0.15から、V4.0.8にバージョンアップ
2) V4.0.8から、V4.2.2にアップデート
アップデート手順は、V4.0.8、および、V4.2.2のリリースノートをご参照ください。
【V3.0.0~V3.0.14の場合】
以下の通りV3.0.15、V4.0.8を経由する必要があります。
1) V3.0.xから、V3.0.15にアップデート
2) V3.0.15から、V4.0.8にバージョンアップ
3) V4.0.8から、V4.2.2にアップデート
アップデート手順は、V3.0.15、V4.0.8、および、V4.2.2のリリースノートをご参照ください。
(3) 有償オプション「FileZen RA」「FileZen Client」をご利用の場合
FileZen V4.2.2で脆弱性対応のために変更した部分に対応するため、
各オプションは以下のバージョンへバージョンアップする必要があります。
・FileZen RA V1.2.1以降
・FileZen Client V1.0.2以降
上記2オプションの各対応バージョン以降では、
FileZen V4.2.1以下との組み合わせはサポート外となりますのでご注意ください。
その他オプションは影響ありません。
6. 緊急パッチ(適用必要ファームウェア)/関連ドキュメント/関連ソフトウェア入手方法
下記サポートダウンロードサイトより入手いただけます。
https://www.soliton.co.jp/support/soliton/hardware/filezen/
トップ-[サポート]-[ダウンロード]-[FileZen]
・保守契約ユーザー様専用ID/PWが必要です。保守のご案内がお手元にない場合、
サポート窓口またはご購入元へお問い合わせください。
・本ご案内では「緊急パッチ」と表現しておりますが、
正式名称は「FileZen V4.2 アップデートパック2(V4.2.2)」です。
・V4.0.8は、V4.0.10のページにございます。
・年間サポートサービス契約が終了しているお客様も、本バージョンへアップデート可能です。
(ただし、緊急パッチ入手方法以外のお問い合わせ対応はできません。)
対象は、DX51、ST81モデルです。
DX03、ST51モデルはV3以降に対応していないため本脆弱性には該当しませんが、
早めのリプレースをご検討ください。
入手方法につきましては、以下のフォームより、保守契約終了済みである旨記載の上お問い合わせください。
ご購入後の製品/サービスに関する技術サポート窓口
https://www.soliton.co.jp/support/contact/
本問い合わせフォームの「ご契約情報」への記載事項
「サポート番号(保守契約番号)」 空欄、または、以前締結していたサポート番号
「シリアル番号/許諾認証番号」 物理版のシリアル番号、または、仮想版の許諾認証番号をご記入ください。
※1 弊社と直接契約頂いており弊社に登録のあるメールアドレスへご案内しております。
保守契約を販社殿と締結されている場合もございます。
※2 メインストレージにCIFS接続の外部ストレージを使用している場合、
V4.0以降では、利用データベースソフトの新仕様によリ、
シャットダウン時のデータベースへの書き込み完了をチェックできず、
データベースファイルが破損する可能性がある為です。
「iSCSI」又は「NFS」が利用できるストレージに変更後、V4.2.2へアップデートしてください。
(サブストレージ、アーカイブストレージでのCIFS接続は本問題に該当しませんが、
CIFSは排他マウントではないため運用上ご注意ください。)
以上