[セキュリティ情報] クロスサイトスクリプティング脆弱性に対するRack Power Distribution Unit (Rack PDU) の影響と対策 (2021年12月公開)

2021年12月に公開されたCVE-2021-22825脆弱性について、当社製品の影響とその対策を以下の通りご案内します。
なお、本ページは、シュナイダーエレクトリックの グローバルWEBサイト を基に公開しています。
*最新情報を確認したい場合はグローバルWEBサイトを参照ください。

脆弱性：
本脆弱性(CVE-2021-22825)により、一般ユーザーが悪意のあるスクリプトにより、管理者権限でアクセスできるようになります。

対象製品：
影響を受ける製品は、インテリジェントPDUのうち、以下の製品のファームウェアバージョンです。

対象製品	対象 バージョン	備考
AP7000Bシリーズ (NMC2搭載モデル) ・Metered ・Switched	V6.9.6以前	製品型番末尾 “B” および ”BJ” 以外の製品は対象外です
AP8000シリーズ (NMC2搭載モデル) ・Metered ・Switched ・Metered Plus ・Switched Plus
AP7000Bシリーズ (NMC3搭載モデル) ・Metered ・Switched	v1.1.0.3以前	製品型番末尾 “B” および ”BJ” 以外の製品は対象外です
AP8000シリーズ (NMC3搭載モデル) ・Metered ・Switched ・Metered Plus ・Switched Plus
APDU9000シリーズ (NMC3搭載モデル) ・Switched	v1.0.0.28以前

対策：
本脆弱性の対策済みファームウェアバージョンを適用することにより、回避できます。
対策済みバージョンは以下表の通りです。

対象製品	対策済み バージョン	ファームウェア ダウンロード	リリースノート (英語版のみ)
AP7000Bシリーズ (NMC2搭載モデル) ・Metered ・Switched	v7.0.6以降	apc_hw05_aos704_rpdu2g706_bootmon109.exe	release notes v7.0.6.pdf
AP8000シリーズ (NMC2搭載モデル) ・Metered ・Switched ・Metered Plus ・Switched Plus
AP7000Bシリーズ (NMC3搭載モデル) ・Metered ・Switched	v1.2.0.2以降	apc_hw21_rpdu2g_1-2-0-2.zip	release notes v1.2.0.2.pdf
AP8000シリーズ (NMC3搭載モデル) ・Metered ・Switched ・Metered Plus ・Switched Plus
APDU9000シリーズ (NMC3搭載モデル) ・Switched

ファームウェアアップデート手順：
対策済みファームウェアは以下表の手順により適用可能です。
添付の対象製品のマニュアルを参照して対策済みファームウェアを適用してください。

対象製品	対象マニュアル ファイル名	該当ページ
AP7000Bシリーズ ・Metered ・Switched	AP7xxxB_990-5848C_JA.pdf	P152以降
AP8000シリーズ ・Metered	AP88xx_990-5568M_JA.pdf	P142以降
AP8000シリーズ ・Switched	AP89xx_990-5569N_JA.pdf	P176以降
AP8000シリーズ ・Metered Plus	AP84xx_990-5571N_JA.pdf	P165以降
AP8000シリーズ ・Switched Plus	AP86xx_990-5570N_JA.pdf	P188以降
APDU9000シリーズ ・Switched	APDU99xx_990-6302B-018.pdf	P150以降

公開先:Schneider Electric 日本