Arcserve社Arcserve UDP(Unified Data Protection Advanced Edition)の脆弱性(CVE-2018-18657,CVE-2018-18658,CVE-2018-18659,CVE-2018-18660)に対する注意のお知らせ
クラウド/サーバー
2019年2月20日 (2021年5月5日:更新)
平素はNTTコミュニケーションズSmart Data Platformをご利用いただき誠にありがとうございます。
この度、Smart Data Platformのミドルウェアメニューで提供しているArcserve Unified Data Protection Advanced Edition(以下UDP)で、
UDP コンソール、ならびに UDP ゲートウェイの機能をご利用されているお客さまにおかれまして、外部より攻撃を受ける可能性があるセキュリティ(脆弱性)情報が確認されました。
Smart Data Platform ミドルウェアメニュー Arcserve にて、影響を受ける機能をご利用されているお客さまにおかれましては、
脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことをお勧めいたします。
特定された脆弱性
■認証されていない重要な情報の流出
CVE-2018-18657 – DDI-VRT-2018-18
CVE-2018-18658 – DDI-VRT-2018-20
■認証されていない外部実体参照
CVE-2018-18659 – DDI-VRT-2018-19
■反射型クロスサイトスクリプティング
CVE-2018-18660 – DDI-VRT-2018-21
■対象バージョン
Arcserve UDP 6.5 Update 4
Arcserve UDP 6.5 Update 3
■影響を受ける機能
UDP コンソール
UDP ゲートウェイ
※復旧ポイントサーバ (RPS) およびUDP Windows/Linux Agent 環境は本影響を受けません。
■対応方法
本脆弱性への対応として、以下の修正モジュールの適用が必要となります。
<修正モジュール>
P00001478 for UDP 6.5 Update4
P00001480 for UDP 6.5 Update3
■修正モジュール適用方法:
<UDP コンソール環境>
UDP 6.5 Update4環境:P00001478.zipから解凍した P00001478.exe を実行し適用します
UDP 6.5 Update3環境:P00001480.zipから解凍した P00001478.exe を実行し適用します
<UDP ゲートウェイ環境>
1.サービス マネージャ を起動し、“Arcserve Remote Management Gateway Service” を停止します。
2.エクスプローラを起動し、以下のフォルダに移動します。
C:\Program Files\Arcserve\Unified Data Protection\Gateway\TOMCAT\webapps\gateway\WEB-INF
3.配下に “classes” フォルダが存在する場合は、同フォルダを削除または別のディレクトリへ退避します。
※デフォルトでは、このフォルダは存在しません。存在しない場合は、次の作業に進みます。
4.続けて、以下のフォルダに移動します。
C:\Program Files\Arcserve\Unified Data Protection\Gateway
5.ManuallyPatch.zip を解凍し、データをコピーします。
コピー対象: GatewayManuallyPatch\Unified Data Protection\Gateway 配下のデータ
コピー先: C:\Program Files\Arcserve\Unified Data Protection\Gateway 配下にコピー
6.“Arcserve Remote Management Gateway Service” を開始します。
※※注意※※
UDP 6.5 Update3 に P00001480 を適用した環境を UDP 6.5 Update4 にアップデートした場合、
脆弱性の修正モジュール P00001480 が上書きされます。UDP 6.5 Update4 へアップデート後 P00001478 を
適用する必要があります。
UDP 6.5 GA, Update1, Update2, Update3 をご利用の場合は、UDP 6.5 Update4 へアップデート後 P00001478 を
適用することをお勧めします。
詳細情報サイト(Arcserve社)
https://support.arcserve.com/s/article/360001392563?language=ja
今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、
引き続きご愛顧のほど何卒宜しくお願いいたします。