Arcserve UDP : 複数の脆弱性(CVE-2018-18657 他3件)(2018年12月26日)
1. 脆弱性の説明
Arcserve UDP の UDP コンソール および UDP ゲートウェイに、以下のセキュリティ脆弱性があります。
- 認証されていない重要な情報の流出
- CVE-2018-18657 - DDI-VRT-2018-18 - Unauthenticated Sensitive Information Disclosure via /gateway/services/EdgeServiceImpl
- CVE-2018-18658 - DDI-VRT-2018-20 - Unauthenticated Sensitive Information Disclosure via /UDPUpdates/Config/FullUpdateSettings.xml
- 認証されていない外部実体参照
- CVE-2018-18659 - DDI-VRT-2018-19 - Unauthenticated XXE in /management/UdpHttpService
- 反射型クロスサイトスクリプティング
- CVE-2018-18660 - DDI-VRT-2018-21 - Reflected Cross-site Scripting via /authenticationendpoint/domain.jsp
Arcserveについては以下のページを参照してください。
富士通のパートナーソフトウェア Arcserve
富士通は、「3. 該当システム・対策情報」でセキュリティパッチをご案内していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
「4. 関連情報」で示す公開情報を参照してください。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, PRIMEQUEST
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Arcserve UDP v6.5 Advanced Edition - Server | v6.5 | Windows [※1] | Arcserve UDP v6.5 | P00001478 |
| Arcserve UDP v6.5 Advanced Edition - Socket | v6.5 | Windows [※1] | Arcserve UDP v6.5 | P00001478 |
| Arcserve UDP v6.5 Premium Edition - Socket | v6.5 | Windows [※1] | Arcserve UDP v6.5 | P00001478 |
| Arcserve UDP v6.5 Premium Plus Edition - Socket | v6.5 | Windows [※1] | Arcserve UDP v6.5 | P00001478 |
[※1] Windows Server 2008 R2 / 2012 / 2012 R2 / 2016
参考: 該当製品の確認方法
ご担当の営業や契約中のサポート担当窓口へお問い合わせください。3-3. 回避方法
ありません。
4. 改版履歴
- 2018年12月26日 新規掲載
