Symantec Backup Exec 2012/ ETERNUS BE50: OpenSSL における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224) (2014年7月10日)
1. 脆弱性の説明
OpenSSL Project が提供するOpenSSLには、初期SSL/TLS ハンドシェイクにおけるChange Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)が存在します。
Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みも含む)が、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。
- Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
VMware ESXi 5.5またはVMware vCenter 5.5を経由して、バックアップやリストアを実行した場合。 - Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
VMware ESXi 5.5環境へ物理サーバを仮想変換した場合。
詳細については、「4. 関連情報」に記載のシマンテック社の公開情報を参照願います。
富士通は、「3-3. 回避方法」を提供していますので、早急に適用する様にお願いします。
Symantec Backup Execについては以下のページを参照してください。
http://software.fujitsu.com/jp/symantec/products/bews/
ETERNUS BE50については以下のページを参照してください。
http://storage-system.fujitsu.com/jp/products/dedupe/be/
2. 脆弱性のもたらす脅威
Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みの場合も含む)とVMware ESXi 5.5 または VMware vCenter 5.5の通信データが、中間者攻撃 (man-in-the-middle attack) によって解読されたり改ざんされたりする可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, PRIMEQUEST
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
Symantec Backup Exec 2012[*1] | 2012 SP3以降 | Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 | - | 発行予定なし[*2] |
[*2]: 3-3.回避方法を参照
参考: 該当製品の確認方法
Backup Execのバージョン確認方法
- Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
- 表示されたメニューから[ヘルプとマニュアル]を選択し、 [Backup Exec バージョン情報]をクリックします。
- 表示された画面でBackup Execのバージョンを確認します。
Backup Execの適用済みのService Packの確認方法
- Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
- 表示されたメニューから[インストールとライセンス]を選択し、 [インストール済みの更新]をクリックします。
- 「インストール済みの更新」画面で適用されているService Packを確認します。
3-3. 回避方法
VMware ESXi 5.5のサーバに以下の修正プログラムを適用します。
- ESXi550-201406401-SG
上記VMwareの修正プログラムの入手については、「4. 関連情報」に記載の、VMwareの公開情報を参照願います。
4. 関連情報
- シマンテック社
http://www.symantec.com/business/support/index?page=content&id=TECH218344&locale=en_US - JVN#61247051
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
http://jvn.jp/jp/JVN61247051/index.html - CVE-2014-0224
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224 - VMware
5. 改版履歴
- 2014年7月10日 新規掲載