リビジョン履歴
- 1.0: 2021 年 9 月 7 日: 初回バージョン
- 1.1: 2022 年 10 月 11 日: CVE ID を追加
概要
Veritas System Recovery (VSR) において、機密情報開示の脆弱性が見つかりました。
問題
- 機密情報開示の脆弱性: Windows レジストリに保存されているパスワード
- CVE ID: CVE-2022-41320
- 重大度: 中
- CVSS v3.1 基本スコア 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Veritas System Recovery (VSR) バージョン 18 および 21 では、バックアップの構成中に、ネットワーク上の保存先のパスワードを Windows レジストリに保存します。この脆弱性により、Windows ユーザーに対して、アクセスが許可されていないネットワークファイルシステムにアクセスするための十分な権限が与えられる可能性があります。
修復策
現在メンテナンス契約をお持ちのお客様は、下記のように、この脆弱性を緩和するアプリケーションバイナリをダウンロードしてインストールすることができます。
- VSR 18 の場合:
- システムが最新の Service Pack である VSR 18 SP4 に更新されていることを確認します。
- お使いのオペレーティングシステム用の更新版 VProSvc.exe (バージョン: 18.0.4.57090) をダウンロードします。
- サーバーおよびクライアント上の VProSvc.exe を更新版に置き換えます。
- VSR 21 の場合:
- システムが最新の Service Pack である VSR 21 SP3 に更新されていることを確認します。
- お使いのオペレーティングシステム用の更新版 VProSvc.exe (バージョン: 21.0.3.62140) をダウンロードします。
- サーバーおよびクライアント上の VProSvc.exe を更新版に置き換えます。
利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。
お問い合わせ
この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせいただくか、記事 ID 100051263 を参照してください。
免責
本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054