情報掲載日:2021年12月17日

SonicWall SMA100シリーズ製品における複数の脆弱性のご案内

平素は格別のご高配を賜り、厚く御礼申し上げます。
この度、SonicWall SMA100シリーズ製品において脆弱性が発表されました。
ファームウェアのアップグレードが必要になります。

ご確認いただき、早急なご対応をお願いいたします。

内容

1.脆弱性の内容

SMA100シリーズにて、複数の脆弱性が確認されました。
下記表が発見された脆弱性の内容およびCVSS値(重大度)の一覧となります。

CVE 概要 CVSS値
(重大度)
CVE-2021-20038 認証されていないスタックベースのバッファオーバーフローの脆弱性 9.8(重大)
CVE-2021-20039 ルートとしての認証されたコマンドインジェクションの脆弱性 7.2(重大)
CVE-2021-20040 認証されてないファイルアップロードパストラバーサルの脆弱性 6.5(中)
CVE-2021-20041 認証されていないCPU枯渇の脆弱性 7.5(重大)
CVE-2021-20042 認証されていない「Confused Deputy」の脆弱性 6.3(中)
CVE-2021-20043 getBookmarksヒープベースのバッファオーバーフローの脆弱性 8.8(重大)
CVE-2021-20044 認証後のリモートコード実行(RCE) 7.2(重大)
CVE-2021-20045 複数の認証されていないファイルエクスプローラーヒープベース及びスタックベースのバッファオーバーフローの脆弱性 9.4(重大)

詳細な内容は下記をご確認ください。

2.影響範囲

対象製品:
  • SMA200/210/400/410/500v
対象
ファームウェア:
  • 下記表のとおり
CVE 対象ファームウェア
CVE-2021-20038 10.2.1.0-17svおよびそれ以前
10.2.1.1-19svおよびそれ以前
10.2.1.2-24svおよびそれ以前
CVE-2021-20040
CVE-2021-20043
CVE-2021-20044
CVE-2021-20045
10.2.0.8-37svおよびそれ以前
10.2.1.1-19svおよびそれ以前
CVE-2021-20039
CVE-2021-20041
CVE-2021-20042
9.0.0.11-31svおよびそれ以前
10.2.0.8-37svおよびそれ以前
10.2.1.1-19svおよびそれ以前

3.対策

下記いずれかのバージョンのファームウェアへのアップグレードが必要です。(注1)

  • 10.2.0.9-41sv
  • 10.2.1.3-27sv(注2)
  • 注1:
    以下の順番で段階的にアップグレードする必要があります。
    お使いのバージョンより下位のバージョンを経由する必要はありません。
    [8.6]→[9.0.0.10-28sv]→[10.2.0.9-41sv]または[10.2.1.3-27sv]
  • 注2:
    当社での動作検証を実施しており、当社推奨バージョンアップ先としています。

アップグレードの方法はこちらをご参照ください。

ファームウェアのアップグレードがお客さまにて困難な場合は、「リモートバージョンアップサービス」をご検討ください。

本件に関するお問い合わせ先

ご契約中のお客様は、UTMサポートまでお問い合わせください。