Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021)

First Published:12/07/2021 Last Updated:12/08/2021


SonicWallは、SMA 200、210、400、410、および500v製品を含むSMA 100シリーズアプライアンスの重大度が危険〜中程度(CVSS 5.3-9.8)の脆弱性を確認し、パッチファームウェアをリリースしました。 WAFが有効になっているSMA100シリーズアプライアンスも、これらの脆弱性の大部分の影響を受けます。


重要:これらの脆弱性が実際に悪用されているという証拠はありません。


各パッチの詳細は、PSIRTアドバイザリSNWLID-2021-0026 (英語)に記載されています。

SonicWallは、組織が以下のガイダンスに従って、SMA 200、210、400、410、および500vアプライアンスを含むSMA100シリーズ製品にパッチを適用することを強くお勧めします。

一時的な緩和策

一時的な緩和策はありません。 SonicWallは、影響を受けるお客様に、該当するパッチをできるだけ早く実装することをお願いいたします。

対応方法

SMA 100シリーズアプライアンスを使用している組織は、すぐにMySonicWall.comにログインして、以下に説明するパッチファームウェアを入手し、アプライアンスをアップグレードする必要があります。アップグレードの支援については、KB記事「SMA100シリーズアプライアンスのファームウェアをアップグレードする方法」を参照するか、SonicWallサポートに連絡してください。

影響のあるプラットフォーム: SMA 100 Series
SMA 200, 210, 400, 410, 500v (ESX, Hyper-V, KVM, AWS, Azure)

ISSUE ID

概要

CVSS Score

影響のあるファームウェア

修正ファームウェア

 CVE

SMA-3217

Unauthenticated Stack-based Buffer Overflow

 

 

 

 

 

 

 

9.8 High

10.2.1.0-17sv (及び以前のバージョン)

 

10.2.1.3-27sv

CVE-2021-20038

10.2.1.1-19sv (及び以前のバージョン)

10.2.1.3-27sv

10.2.1.2-24sv (及び以前のバージョン)

 

10.2.1.3-27sv

 

 

SMA-3204

 

 

Authenticated Command Injection Vulnerability as Root

 

7.2 High

9.0.0.11-31sv (及び以前のバージョン) 

10.2.0.9-41sv

CVE-2021-20039

10.2.0.8-37sv(及び以前のバージョン)

10.2.0.9-41sv

10.2.1.1 -19sv (及び以前のバージョン)

10.2.1.3-27sv

SMA-3206

Unauthenticated File Upload Path Traversal Vulnerability

6.5 Medium

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

CVE-2021-20040

 

 

10.2.1.1 -19sv (及び以前のバージョン)

 

 

10.2.1.3-27sv

SMA-3207

Unauthenticated CPU Exhaustion Vulnerability

7.5 High

  

9.0.0.11-31sv*

 

10.2.0.9-41sv

CVE-2021-20041

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

 

10.2.1.1 -19sv (及び以前のバージョン)

 

10.2.1.3-27sv

SMA-3208

Unauthenticated "Confused Deputy" Vulnerability

6.3 Medium

  

9.0.0.11-31sv* (及び以前のバージョン)

 

10.2.0.9-41sv

CVE-2021-20042

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

 

10.2.1.1 -19sv (及び以前のバージョン)

 

10.2.1.3-27sv

SMA-3231

getBookmarks Heap-based Buffer Overflow

8.8 High

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

CVE-2021-20043

 

10.2.1.1 -19sv (及び以前のバージョン)

 

10.2.1.3-27sv

SMA-3233

Post-Authentication Remote Code Execution (RCE)

7.2 High

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

CVE-2021-20044

 

10.2.1.1 -19sv (及び以前のバージョン)

 

10.2.1.3-27sv

SMA-3235

Multiple Unauthenticated File Explorer Heap-based and Stack-based Buffer Overflows

9.4 High

 

10.2.0.8-37sv (及び以前のバージョン)

 

10.2.0.9-41sv

CVE-2021-20045

 

10.2.1.1 -19sv (及び以前のバージョン)

 

10.2.1.3-27sv


NOTE: 9.0.0 ファームウェアのサポートは2021年10月31日 で終了しました。サポート終了した古いバージョンのファームウェアを使用しているお客様は、最新の10.2.xファームウェアにアップグレードいただくよう強く推奨します。

Trace:bc25ceab620983726ed9b9f9e3bc8474-80