リビジョン
- 1.0: 2020 年 2 月 28 日、初回リリース
概要
Veritas System Recovery は Microsoft Windows CryptoAPI の脆弱性 (CVE-2020-0601) の影響を受けます。
| 問題 | 説明 | 重大度 | 修正されたバージョン |
|---|---|---|---|
1 |
Veritas System Recovery は、ECC コードサイニング証明書の検証に関連する Microsoft Windows CryptoAPI の脆弱性 (CVE-2020-0601) の影響を受けます。 |
重大 |
該当なし |
問題
マイクロソフト社は 2020 年 2 月、Windows CryptoAPI の重大な問題についてセキュリティアドバイザリを公開しました。このアドバイザリによると、攻撃者がこの脆弱性を悪用した場合、偽のコードサイニング証明書を使用して悪質な実行可能ファイルに署名し、信頼できる正当な送信元から送られたファイルであるように見せかける可能性があります。Veritas System Recovery (VSR) がコードサイニング証明書を検証する際に、この脆弱性の影響を受ける可能性があります。これには、次のケースがあります。
- 製品の初回インストール時
- 製品の更新プログラムのインストール時
- VMware ESX Server による物理仮想変換 (P2V) 処理時
影響を受けるバージョン
脆弱なバージョンの Windows 上で実行している、すべてのバージョンの VSR が影響を受けます。パッチが適用されていないバージョンの Windows 10、Windows Server 2016、および 2019 は脆弱なままです。その他のバージョンの Windows はすべて、この問題に対して脆弱ではありません。
修復策
この問題を修復するには、脆弱性を修正する Windows 更新プログラムをインストールするしか方法がありません。この脆弱性は VSR ではなく Microsoft Windows に存在するため、この問題に対処する VSR の更新プログラムはリリースされません。
緩和策
脆弱性の影響を受ける可能性がある 3 つのケースすべてにおいて、次のように特定の操作を避けることでリスクを緩和することができます。
- Windows 更新プログラムがインストールされていないシステム上では VSR の初回インストールを実行しないこと。
- Windows 更新プログラムがインストールされていないシステムには VSR の更新プログラムをインストールしないこと。
- 保護対象のシステムに Windows 更新プログラムがインストールされていない場合は、ESX 関連のシステム上で P2V 処理を実行しないこと。
脆弱なシステム上でも、バックアップや P2V 以外のリストアであれば、脆弱性を引き起こすことなく引き続き実行することができます。
参照情報