Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021)

First Published:12/07/2021

Last Updated:12/08/2021

SonicWallは、SMA 200、210、400、410、および500v製品を含むSMA 100シリーズアプライアンスの重大度が危険〜中程度（CVSS 5.3-9.8）の脆弱性を確認し、パッチファームウェアをリリースしました。 WAFが有効になっているSMA100シリーズアプライアンスも、これらの脆弱性の大部分の影響を受けます。

重要：これらの脆弱性が実際に悪用されているという証拠はありません。

各パッチの詳細は、PSIRTアドバイザリSNWLID-2021-0026 (英語)に記載されています。

SonicWallは、組織が以下のガイダンスに従って、SMA 200、210、400、410、および500vアプライアンスを含むSMA100シリーズ製品にパッチを適用することを強くお勧めします。

一時的な緩和策

一時的な緩和策はありません。 SonicWallは、影響を受けるお客様に、該当するパッチをできるだけ早く実装することをお願いいたします。

対応方法

SMA 100シリーズアプライアンスを使用している組織は、すぐにMySonicWall.comにログインして、以下に説明するパッチファームウェアを入手し、アプライアンスをアップグレードする必要があります。アップグレードの支援については、KB記事「SMA100シリーズアプライアンスのファームウェアをアップグレードする方法」を参照するか、SonicWallサポートに連絡してください。

影響のあるプラットフォーム: SMA 100 Series SMA 200, 210, 400, 410, 500v (ESX, Hyper-V, KVM, AWS, Azure)
ISSUE ID	概要	CVSS Score	影響のあるファームウェア	修正ファームウェア	CVE
SMA-3217	Unauthenticated Stack-based Buffer Overflow	9.8 High	10.2.1.0-17sv (及び以前のバージョン)	10.2.1.3-27sv	CVE-2021-20038
			10.2.1.1-19sv (及び以前のバージョン)	10.2.1.3-27sv
			10.2.1.2-24sv (及び以前のバージョン)	10.2.1.3-27sv
SMA-3204	Authenticated Command Injection Vulnerability as Root	7.2 High	9.0.0.11-31sv (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20039
			10.2.0.8-37sv(及び以前のバージョン)	10.2.0.9-41sv
			10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv
SMA-3206	Unauthenticated File Upload Path Traversal Vulnerability	6.5 Medium	10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20040
SMA-3206	Unauthenticated File Upload Path Traversal Vulnerability	6.5 Medium	10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv	CVE-2021-20040
SMA-3207	Unauthenticated CPU Exhaustion Vulnerability	7.5 High	9.0.0.11-31sv*	10.2.0.9-41sv	CVE-2021-20041
			10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv
			10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv
SMA-3208	Unauthenticated "Confused Deputy" Vulnerability	6.3 Medium	9.0.0.11-31sv* (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20042
			10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv
			10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv
SMA-3231	getBookmarks Heap-based Buffer Overflow	8.8 High	10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20043
SMA-3231	getBookmarks Heap-based Buffer Overflow	8.8 High	10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv	CVE-2021-20043
SMA-3233	Post-Authentication Remote Code Execution (RCE)	7.2 High	10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20044
SMA-3233	Post-Authentication Remote Code Execution (RCE)	7.2 High	10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv	CVE-2021-20044
SMA-3235	Multiple Unauthenticated File Explorer Heap-based and Stack-based Buffer Overflows	9.4 High	10.2.0.8-37sv (及び以前のバージョン)	10.2.0.9-41sv	CVE-2021-20045
SMA-3235		9.4 High	10.2.1.1 -19sv (及び以前のバージョン)	10.2.1.3-27sv	CVE-2021-20045

NOTE: 9.0.0 ファームウェアのサポートは2021年10月31日で終了しました。サポート終了した古いバージョンのファームウェアを使用しているお客様は、最新の10.2.xファームウェアにアップグレードいただくよう強く推奨します。

Previous Alert

Security Notice: Critical Arbitrary File Delete Vulnerability in SonicWall SMA 100 Series Appliances

Next Alert

Apache Log4j の脆弱性対策について(CVE-2021-44228)

Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021)

連絡を取る