VERITAS Storage Foundation: 管理サービス機能にヒープオーバーフローの脆弱性 (2008年3月17日)
1.脆弱性の説明
VERITAS Enterprise Administrator(VEA)の 管理サービス機能にヒープオーバーフローの脆弱性があります。
VEA は、VERITAS Storage Foundation の管理 GUI コンポーネントです。
富士通は、3.に回避方法を示していますので、早急に対応願います。
2. 脆弱性のもたらす脅威
特別に細工されたパケットによって、VEA の管理サービス機能が突然終了します。当該パケットは、ネットワーク上で正当な権限を持つ悪質なユーザー、または特定のネットワークセグメントへの不正アクセスを悪用する個人によって送付されます。
3. 該当システム・対策情報
3-1.該当システム
PRIMEPOWER, GP-S, SPARC Enterprise
3-2.該当製品・対策Patch
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| VERITAS Storage Foundation Standard 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Standard 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Standard 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Standard 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Standard 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Standard HA 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Standard HA 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Standard HA 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Standard HA 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Standard HA 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Enterprise 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Enterprise 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Enterprise 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Enterprise 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Enterprise 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Enterprise for Oracle 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Enterprise for Oracle 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Enterprise for Oracle 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Enterprise for Oracle 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Enterprise for Oracle 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Enterprise HA for Oracle 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Enterprise HA for Oracle 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Enterprise HA for Oracle 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Enterprise HA for Oracle 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Enterprise HA for Oracle 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Enterprise for Oracle RAC 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Enterprise for Oracle RAC 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Enterprise for Oracle RAC 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Enterprise for Oracle RAC 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Enterprise for Oracle RAC 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
| VERITAS Storage Foundation Cluster File System Enterprise 5.0 | Solaris 8, 9, 10 | VRTSobc33 | 122632-05 |
| VERITAS Storage Foundation Cluster File System Enterprise 5.0 | Solaris 8, 9, 10 | VRTSob | 122631-05 |
| VERITAS Storage Foundation Cluster File System Enterprise 5.0 | Solaris 8, 9, 10 | VRTSobgui | 122633-05 |
| VERITAS Storage Foundation Cluster File System Enterprise 5.0 | Solaris 8, 9, 10 | VRTSccg | 123076-05 |
| VERITAS Storage Foundation Cluster File System Enterprise 5.0 | Solaris 8, 9, 10 | VRTSaa | 123075-05 |
製品毎にすべてのパッチの適用が必要です。パッチは、以下のURLより入手してください。
http://seer.entsupport.symantec.com/docs/297464.htm
参考: 該当製品の確認方法
該当製品のバージョンは、「5.0」ですが、パッケージ毎にバージョンは異なります。
ご利用製品の バージョンレベル確認方法は以下の通りです。
[表示のための操作]
パッケージ名を指定し、pkginfo -l コマンドを実行します。
・以下のように実行します。
# pkginfo -l VRTSobc33
# pkginfo -l VRTSob
# pkginfo -l VRTSobgui
# pkginfo -l VRTSccg
# pkginfo -l VRTSaa
[表示の確認方法]
pkginfo -l コマンドの実行で出力される結果のうち、「VERSION」を確認します。
以下記載したパッケージ名に対応する「VERSION」であることを確認します。
| パッケージ名 | VERSION |
|---|---|
| VRTSobc33 | 3.3.721.0 |
| VRTSob | 3.3.721.0 |
| VRTSobgui | 3.3.721.0 |
| VRTSccg | 5.0.28.0 |
| VRTSaa | 5.0.28.0 |
3-3. 回避方法
ありません。
4. 関連情報
- シマンテック製品に関するセキュリティ・アドバイザリー
SYM08-005「シマンテックの Veritas Storage Foundation で、Veritas Enterprise Administrator にヒープオーバーフローの脆弱性」
http://www.symantec.com/ja/jp/business/security_response/securityupdates/detail.jsp?fid=sns&pvid=sns&year=2010&suid=eNDC-SU110-20100120.01 - パッチ公開URL
Veritas Enterprise Administrator (VEA) 5.0 Maintenance Pack 1 Rolling Patch 1 (5.0 MP1 RP1)
http://seer.entsupport.symantec.com/docs/297464.htm
5. 改版履歴
- 2008年3月17日 新規掲載
