Dell PowerFlexに深刻な脆弱性、最大CVSS9.1で更新を

Dellは、ソフトウェア定義ストレージ(SDS)「PowerFlex Software」で多数の脆弱性を修正したことを公表しました(アドバイザリDSA-2026-066、初出2026年6月15日/その後更新)。自社コードだけで10件を超える脆弱性が含まれ、最も深刻なCVE-2026-56688はCVSS基本値9.1のOSコマンドインジェクションです。認証の欠如による遠隔コード実行につながる不備も含まれます。

結論から言えば、PowerFlexを使っている組織はバージョン5.1.0.1以降(旧系統は4.5.5.2)へ速やかに更新する必要があります。ストレージ基盤は「動いていれば触らない」となりがちですが、今回は管理面を狙われると被害が基盤全体に波及しうる内容です。

この記事でわかること

  • 今回Dellが修正した脆弱性の概要と、特に注意すべきCVE
  • 影響を受けるバージョンと、適用すべき修正版
  • SDS(ソフトウェア定義ストレージ)基盤ならではのリスクと、情シスが今すぐ確認すべきこと

何が起きたのか

PowerFlexは、汎用サーバーのストレージをソフトウェアで束ねてブロックストレージとして提供するDellのSDS製品です。仮想化基盤やプライベートクラウドのデータ基盤として、データセンター内で使われます。今回のアドバイザリでは、PowerFlex自身のコード(プロプライエタリ部分)に加え、同梱されるKeycloak・Java・OpenSSH・Netty・urllib3など多数のサードパーティ部品の既知脆弱性もまとめて更新されました。

ストレージやその管理コンポーネントは、業務アプリのように頻繁にパッチが当たらず、脆弱性が長く放置されやすい領域です。だからこそ、こうしたまとめ更新のタイミングを逃さないことが重要になります。

特に注意すべき脆弱性

Dellが公表した自社コードの脆弱性のうち、CVSS基本値が高いものを抜粋します(いずれも影響バージョンは5.1.0.1未満、修正は5.1.0.1以降)。

CVE 種別 CVSS
CVE-2026-56688 OSコマンドインジェクション 9.1
CVE-2026-35065 認証の欠如(遠隔コード実行につながる) 8.8
CVE-2026-56690 SQLインジェクション 8.5
CVE-2026-32804 認証バイパス 8.1
CVE-2026-56689 SQLインジェクション 7.7
CVE-2026-49502 認証バイパス 7.4
CVE-2026-22283 信頼境界の扱いの不備 7.5
CVE-2026-35066 アクセス制御バイパス 7.1

最大のCVE-2026-56688(CVSS9.1)は、Dellの説明によればroot権限での任意コマンド実行が可能となり、アプライアンスの完全掌握や、管理下のインフラへの横展開(ラテラルムーブメント)につながりうるとされています。これは高権限を持つ攻撃者による悪用が前提とされていますが、他の認証バイパス系(CVE-2026-32804/CVE-2026-49502)や認証欠如(CVE-2026-35065)と組み合わされると、権限取得から侵害までの経路が現実的になる点に注意が必要です。

影響を受ける環境と修正版

  • 影響を受けるバージョン: PowerFlex Software 5.1.0.1 より前のバージョン
  • 修正版: 5.1.0.1 以降(従来系統を使っている場合は 4.5.5.2
  • 更新はDellのRCMリリースポータル、または手動アップグレードで提供されています。

まず「自社のPowerFlexが5.1.0.1未満かどうか」を確認し、該当すれば計画的に更新するのが基本方針です。

SDS基盤ならではのリスク(現場目線)

ストレージ基盤の更新は、稼働中の業務システムのデータを預かっているだけに「止められない・触りにくい」ものです。テスト検証や停止調整に時間がかかり、結果として「脆弱性は把握しているが適用が後回し」になりがちです。この“動いているから触らない”という現場の慣性こそ、今回のような管理面の脆弱性が刺さる隙になります。

さらにやっかいなのは、SDSやその管理コンポーネントが資産管理台帳やパッチ管理の対象から漏れやすい点です。エンドポイントやサーバーOSはEDRや資産管理ツールで見えていても、ストレージアプライアンスの内部で動くKeycloakやJavaのバージョンまでは把握し切れていない、という組織は少なくないはずです。今回まとめて多数のサードパーティ部品が更新されたことは、その“見えにくさ”を裏返しで示しています。

情シスはどうすべきか

やることの本質はシンプルで、①該当有無の確認 → ②修正版の適用計画 → ③管理面へのアクセス制限の再点検です。特に③として、PowerFlexの管理インターフェースが不要に広いネットワークから到達可能になっていないか(管理セグメントの分離、到達元の最小化)を、この機会に見直すことをおすすめします。認証バイパス系の脆弱性は、そもそも管理面に到達できなければ悪用のハードルが上がります。

パッチ適用の優先度づけや、脆弱性管理の進め方に迷う場合は、IPAの公的な指針が参考になります。自前で長大なチェックリストを作るより、まずは公式の考え方に沿うのが早道です。

あわせて、ストレージやネットワーク機器といった“業務アプリ以外”の資産も、パッチ管理の棚卸し対象に含まれているかを再確認しておきたいところです。日頃からのユーザ・運用担当者への啓発と、資産の見える化が、こうした見落としを防ぐ地道な土台になります。

まとめ

  • DellがPowerFlex Softwareで10件超の脆弱性を修正(DSA-2026-066)。最大はCVE-2026-56688(CVSS9.1、OSコマンドインジェクション)
  • 影響は5.1.0.1未満5.1.0.1以降(旧系統は4.5.5.2)への更新が対策。認証欠如・認証バイパス系も含むため後回しにしない。
  • SDS基盤は資産管理・パッチ管理から漏れやすい。更新に加え、管理面へのアクセス制限の見直しをセットで。

出典

※CVSS値・影響バージョンはDell公式アドバイザリ(DSA-2026-066)の記載に基づきます。自社環境のバージョン確認と適用可否は、必ずDell公式情報および保守窓口でご確認ください。


関連カテゴリ: 脆弱性・脅威情報の記事一覧

タイトルとURLをコピーしました