リビジョン履歴
- 1.0: 2020 年 3 月 5 日: 初回バージョン
概要
一部のバージョンの Veritas Backup Exec は Microsoft Windows CryptoAPI の脆弱性 (CVE-2020-0601) の影響を受けます。
| 問題 | 説明 | 重大度 | 修正されたバージョン |
|---|---|---|---|
1 |
一部のバージョンの Backup Exec は、ECC コードサイニング証明書の検証に関連する Microsoft Windows CryptoAPI の脆弱性 (CVE-2020-0601) の影響を受けます。 |
重大 |
該当なし |
問題
マイクロソフト社は 2020 年 1 月、Windows CryptoAPI の重大な問題についてセキュリティアドバイザリを公開しました。このアドバイザリによると、攻撃者がこの脆弱性を悪用した場合、偽のコードサイニング証明書を使用して悪質な実行可能ファイルに署名し、信頼できる正当な送信元から送られたファイルであるように見せかける可能性があります。製品の更新プログラムのインストール中、署名済みのコードを Backup Exec が検証するときに、この脆弱性の影響を受ける可能性があります。
影響を受けるバージョン
Backup Exec バージョン 20.5 および 20.6 がこの問題の影響を受けます。それよりも前のすべてのサポート対象バージョンの Backup Exec は影響を受けません。
修復策
この問題を修復するには、脆弱性を修正する Windows 更新プログラムをインストールするしか方法がありません。この脆弱性は Backup Exec ではなく Microsoft Windows に存在するため、この問題に対処する Backup Exec の更新プログラムはリリースされません。
緩和策
Windows 更新プログラムがインストールされていないシステムには Backup Exec の更新プログラムをインストールしないこと。
脆弱なシステム上でも、バックアップやリストアであれば、この脆弱性を引き起こすことなく引き続き実行することができます。