ESMPRO/ServerManagerにおけるApache Strutsの脆弱性(CVE-2014-0094)の影響について
[現象]
IPAよりApache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)の注意喚起が発表されました。
IPA Webサイト https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
標準でバンドルしているHW監視ツールのESMPRO/ServerManagerではApache Struts2を利用しており、以下の影響(被害)を受ける可能性が考えられます。
・不正な操作 (ESMPRO/ServerManager、または管理対象サーバに対するリモート操作など)
・ESMPRO/ServerManagerが保持する管理対象サーバに関する情報の搾取
[対象ハードウェア/ソフトウェア]gent(および関連製品)への影響は以下の通りです。
対応モジュール | 対象機器 |
Struts2 使用バージョン |
---|---|---|
ESMPRO /ServerManager Ver5.4以降 |
MAGNIA D3305a MAGNIA R3520a/R3520b MAGNIA R3510a/R3510b MAGNIA R3320a/R3320b/R3320c MAGNIA R3310a/R3310b/R3310c MAGNIA T3350a/T3350b/T3350c MAGNIA R1510a/R1510b MAGNIA R1310a/R1310b/R1310c MAGNIA T1340a/T1340b/T1340c MAGNIA C1300a/C1300b/C1300c |
1.3.10 |
以下の製品はApache Struts2を利用していないため影響を受けません。
・ESMPRO/ServerAgent
・ESMPRO/ServerAgent Extension
・Universal RAID Utility
・BMC Configurationツール
[対応]
脆弱性が解消されたApache Struts2への対応を予定しています。 対応時期は現在調整中です。
[回避策]
ESMPRO/ServerManagerで実施可能な回避策はありません。