JVNVU#99602271
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2021-40341、CVE-2021-40342

• UNEM R16A 、R15B、R15A、R14B、R14A、R11B、R11A、R10C、R9C
• FOXMAN-UN R16A、R15B、R15A、R14B、R14A、R11B、R11A、R10C、R9C

• UNEM R15B、R15A、R14B、R14A、R11B、R11A、R10C、R9C
• FOXMAN-UN R15B、R15A、R14B、R14A、R11B、R11A、R10C、R9C

• Lumada APM SaaS
• Lumada APM On-premises バージョン6.5.0.0
• Lumada APM On-premises バージョン6.1.0.0から6.4.0.0

• Lumada APM SaaS
• Lumada APM On-premises バージョン6.5.0.0

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不十分な暗号強度 (CWE-326) - CVE-2021-40341
• 不十分な暗号強度 (CWE-326)、デフォルトの暗号鍵の使用 (CWE-1394) - CVE-2021-40342
• ハードコードされた暗号鍵の使用 (CWE-321) - CVE-2022-3927、CVE-2022-3928
• 重要な情報の平文送信 (CWE-319) - CVE-2022-3929
• 脆弱なOSSコンポーネント（OpenSSL、zlib）への依存 (CWE-1357) - CVE-2022-3602、CVE-2022-3786、CVE-2022-37434

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• ローカルの第三者によって、短時間で暗号を解読される - CVE-2021-40341
• ローカルの第三者によって、機密情報を窃取され、当該製品が管理するネットワーク構成要素にアクセスされる - CVE-2021-40342
• 高特権ユーザが改ざんしたCustom Parameter Set（CPS）ファイルに署名することで、正当なCPSファイルとして信頼させられる - CVE-2022-3927
• ローカルの第三者によって、内部メッセージキュー内のデータへアクセスされる - CVE-2022-3928
• 隣接するネットワーク上の第三者によって、クライアントとサーバ間の内部メッセージを追跡される - CVE-2022-3929
• 遠隔の第三者によって、特定のAPMサービスをクラッシュされ、サービス運用妨害（DoS）状態を引き起こされる - CVE-2022-3602、CVE-2022-3786
• 遠隔の第三者によって、サービス運用妨害（DoS）状態を引き起こされたり、任意のコードを実行されたりする - CVE-2022-37434

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

なお、Lumada APM SaaSは、Hitachi Energyが管理するSaaS環境にて対策が完了しているため、ユーザ側での対策は不要とのことです。
詳細は、開発者が提供する情報をご確認ください。