Symantec Backup Exec 2012/ ETERNUS BE50: OpenSSL における Change Cipher Spec メッセージ処理の脆弱性 (CVE-2014-0224) (2014年7月10日)

1. 脆弱性の説明

OpenSSL Project が提供するOpenSSLには、初期SSL/TLS ハンドシェイクにおけるChange Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)が存在します。
Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みも含む）が、以下のいずれかの場合に、本脆弱性の影響を受ける可能性があります。

Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
VMware ESXi 5.5またはVMware vCenter 5.5を経由して、バックアップやリストアを実行した場合。
Symantec Backup Exec 2012にSP3以降を適用済みである。かつ
VMware ESXi 5.5環境へ物理サーバを仮想変換した場合。

詳細については、「4. 関連情報」に記載のシマンテック社の公開情報を参照願います。
富士通は、「3-3. 回避方法」を提供していますので、早急に適用する様にお願いします。

Symantec Backup Execについては以下のページを参照してください。
http://software.fujitsu.com/jp/symantec/products/bews/

ETERNUS BE50については以下のページを参照してください。
http://storage-system.fujitsu.com/jp/products/dedupe/be/

2. 脆弱性のもたらす脅威

Symantec Backup Exec 2012(ETERNUS BE50にプレインストール済みの場合も含む）とVMware ESXi 5.5 または VMware vCenter 5.5の通信データが、中間者攻撃 (man-in-the-middle attack) によって解読されたり改ざんされたりする可能性があります。
本脆弱性の深刻度に関しては、「4. 関連情報」に記載のJVNの公開情報を参照願います。

3. 該当システム・対策情報

3-1.該当システム

PRIMERGY, PRIMEQUEST

3-2.該当製品・対策Patch

製品名	バージョン	対象OS	パッケージ名	Patch ID
Symantec Backup Exec 2012[*1]	2012 SP3以降	Windows Server 2003/ Windows Server 2003 R2/ Windows Server 2008/ Windows Server 2008 R2/ Windows Server 2012	-	発行予定なし[*2]

[*1]: ETERNUS BE50にプレインストール済みも含む
[*2]: 3-3.回避方法を参照

参考: 該当製品の確認方法

Backup Execのバージョン確認方法

Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
表示されたメニューから[ヘルプとマニュアル]を選択し、 [Backup Exec バージョン情報]をクリックします。
表示された画面でBackup Execのバージョンを確認します。

Backup Execの適用済みのService Packの確認方法

Backup Exec 管理コンソール画面左上の[Backup Exec]ボタンをクリックします。
表示されたメニューから[インストールとライセンス]を選択し、 [インストール済みの更新]をクリックします。
「インストール済みの更新」画面で適用されているService Packを確認します。

3-3. 回避方法

VMware ESXi 5.5のサーバに以下の修正プログラムを適用します。
- ESXi550-201406401-SG

上記VMwareの修正プログラムの入手については、「4. 関連情報」に記載の、VMwareの公開情報を参照願います。

4. 関連情報

シマンテック社
http://www.symantec.com/business/support/index?page=content&id=TECH218344&locale=en_US
JVN#61247051
「OpenSSL における Change Cipher Spec メッセージの処理に脆弱性」
http://jvn.jp/jp/JVN61247051/index.html
CVE-2014-0224
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
VMware
- http://www.vmware.com/security/advisories/VMSA-2014-0006.html
- http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2079783&sliceId=1&docTypeID=DT_KB_1_1&dialogID=282054392&stateId=1%200%20282062537

5. 改版履歴

2014年7月10日新規掲載