リビジョン履歴

• 1.0: 2023 年 8 月 3 日: 初回バージョン

概要

古いサードパーティ製ソフトウェアに起因する複数の脆弱性が、Infinidat InfiniBox および Infinidat InfiniGuard からデータを収集するために必要なバイナリに存在します。

問題

Infinidat 製品からデータを収集するために使われている adapter/adapter.exe バイナリにおいて、多くの CVE 脆弱性が存在することが確認されました。これには重大度が「重大」の OpenSSL の脆弱性 (CVE-2016-0799) も含まれています。

• 重大度: 重大
• CVSS v3.1  基本スコア 9.8: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CWE-119: メモリバッファの境界における不適切な操作制限

前提条件

いずれかの Infinidat コレクタがインストールされていること。

影響を受けるバージョン

Veritas NetBackup IT Analytics バージョン 11.0、11.1、11.2。それ以前のすでにサポート対象外の APTARE IT Analytics のバージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、NetBackup IT Analytics バージョン 11.1.11 または 11.2.04 以降にアップグレードしてください。これにより、該当するバイナリが削除されます。Infinidat システムからのデータ収集は停止されますが、Infinidat システムから収集された既存のデータは維持されます。Infinidat 社から更新版のバイナリがリリースされたときに、データ収集を復活するための IT Analytics 用の更新が発行される可能性があります。

利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054