SonicWall SMA100シリーズ製品における複数の脆弱性のご案内
情報掲載日:2021年12月17日
平素は格別のご高配を賜り、厚く御礼申し上げます。
この度、SonicWall SMA100シリーズ製品において脆弱性が発表されました。
ファームウェアのアップグレードが必要になります。
ご確認いただき、早急なご対応をお願いいたします。
内容
1.脆弱性の内容
SMA100シリーズにて、複数の脆弱性が確認されました。
下記表が発見された脆弱性の内容およびCVSS値(重大度)の一覧となります。
| CVE | 概要 | CVSS値 (重大度) |
|---|---|---|
| CVE-2021-20038 | 認証されていないスタックベースのバッファオーバーフローの脆弱性 | 9.8(重大) |
| CVE-2021-20039 | ルートとしての認証されたコマンドインジェクションの脆弱性 | 7.2(重大) |
| CVE-2021-20040 | 認証されてないファイルアップロードパストラバーサルの脆弱性 | 6.5(中) |
| CVE-2021-20041 | 認証されていないCPU枯渇の脆弱性 | 7.5(重大) |
| CVE-2021-20042 | 認証されていない「Confused Deputy」の脆弱性 | 6.3(中) |
| CVE-2021-20043 | getBookmarksヒープベースのバッファオーバーフローの脆弱性 | 8.8(重大) |
| CVE-2021-20044 | 認証後のリモートコード実行(RCE) | 7.2(重大) |
| CVE-2021-20045 | 複数の認証されていないファイルエクスプローラーヒープベース及びスタックベースのバッファオーバーフローの脆弱性 | 9.4(重大) |
詳細な内容は下記をご確認ください。
2.影響範囲
対象製品:SMA200/210/400/410/500v
対象ファームウェア:下記表のとおり
| CVE | 対象ファームウェア |
|---|---|
| CVE-2021-20038 | 10.2.1.0-17svおよびそれ以前 10.2.1.1-19svおよびそれ以前 10.2.1.2-24svおよびそれ以前 |
| CVE-2021-20040 CVE-2021-20043 CVE-2021-20044 CVE-2021-20045 |
10.2.0.8-37svおよびそれ以前 10.2.1.1-19svおよびそれ以前 |
| CVE-2021-20039 CVE-2021-20041 CVE-2021-20042 |
9.0.0.11-31svおよびそれ以前 10.2.0.8-37svおよびそれ以前 10.2.1.1-19svおよびそれ以前 |
3.対策
下記いずれかのバージョンのファームウェアへのアップグレードが必要です。※1
- 10.2.0.9-41sv
- 10.2.1.3-27sv※2
-
※1
以下の順番で段階的にアップグレードする必要があります。
お使いのバージョンより下位のバージョンを経由する必要はありません。
[8.6]→[9.0.0.10-28sv]→[10.2.0.9-41sv]または[10.2.1.3-27sv] -
※2
当社での動作検証を実施しており、当社推奨バージョンアップ先としています。
アップグレードの方法はこちらをご参照ください。
ファームウェアのアップグレードがお客さまにて困難な場合は、「リモートバージョンアップサービス」をご検討ください。
本件に関するお問い合わせ先
ご契約中のお客さまは、UTMサポートまでお問い合わせください。