GTM-MML4VXJ
Skip to main content

Symantec Backup Exec 2012/ ETERNUS BE50: OpenSSL における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224) (2014年7月10日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

OpenSSL Project が提供するOpenSSLには、初期SSL/TLS ハンドシェイクにおけるChange Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)が存在します。
Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みも含む)が、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

  • Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
    VMware ESXi 5.5またはVMware vCenter 5.5を経由して、バックアップやリストアを実行した場合。
  • Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
    VMware ESXi 5.5環境へ物理サーバを仮想変換した場合。

詳細については、「4. 関連情報」に記載のシマンテック社の公開情報を参照願います。
富士通は、「3-3. 回避方法」を提供していますので、早急に適用する様にお願いします。

Symantec Backup Execについては以下のページを参照してください。
http://software.fujitsu.com/jp/symantec/products/bews/

ETERNUS BE50については以下のページを参照してください。
http://storage-system.fujitsu.com/jp/products/dedupe/be/

2. 脆弱性のもたらす脅威

Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みの場合も含む)とVMware ESXi 5.5 または VMware vCenter 5.5の通信データが、中間者攻撃 (man-in-the-middle attack) によって解読されたり改ざんされたりする可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY, PRIMEQUEST

3-2.該当製品・対策Patch

製品名 バージョン 対象OS パッケージ名 Patch ID
Symantec Backup Exec 2012[*1] 2012 SP3以降 Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012 - 発行予定なし[*2]
[*1]: ETERNUS BE50にプレインストール済みも含む
[*2]: 3-3.回避方法を参照

参考: 該当製品の確認方法

Backup Execのバージョン確認方法

  1. Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
  2. 表示されたメニューから[ヘルプとマニュアル]を選択し、 [Backup Exec バージョン情報]をクリックします。
  3. 表示された画面でBackup Execのバージョンを確認します。

Backup Execの適用済みのService Packの確認方法

  1. Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
  2. 表示されたメニューから[インストールとライセンス]を選択し、 [インストール済みの更新]をクリックします。
  3. 「インストール済みの更新」画面で適用されているService Packを確認します。

3-3. 回避方法


VMware ESXi 5.5のサーバに以下の修正プログラムを適用します。
- ESXi550-201406401-SG

上記VMwareの修正プログラムの入手については、「4. 関連情報」に記載の、VMwareの公開情報を参照願います。

4. 関連情報

5. 改版履歴

  • 2014年7月10日 新規掲載