お知らせ

Arcserve社Arcserve UDP(Unified Data Protection Advanced Edition)の脆弱性(CVE-2018-18657,CVE-2018-18658,CVE-2018-18659,CVE-2018-18660)に対する注意のお知らせ


平素はNTTコミュニケーションズEnterprise Cloudをご利用いただき誠にありがとうございます。

この度、ECL2.0のミドルウェアメニューで提供しているArcserve Unified Data Protection Advanced Edition(以下UDP)で、
UDP コンソール、ならびに UDP ゲートウェイの機能をご利用されているお客さまにおかれまして、外部より攻撃を受ける可能性があるセキュリティ(脆弱性)情報が確認されました。

ECL2.0 ミドルウェアメニュー Arcserveにて、影響を受ける機能をご利用されているお客さまにおかれましては、
脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことをお勧めいたします。

特定された脆弱性

■認証されていない重要な情報の流出
CVE-2018-18657 – DDI-VRT-2018-18
CVE-2018-18658 – DDI-VRT-2018-20

■認証されていない外部実体参照

CVE-2018-18659 – DDI-VRT-2018-19

■反射型クロスサイトスクリプティング
CVE-2018-18660 – DDI-VRT-2018-21

■対象バージョン

Arcserve UDP 6.5 Update 4
Arcserve UDP 6.5 Update 3

■影響を受ける機能

UDP コンソール
UDP ゲートウェイ
※復旧ポイントサーバ (RPS) およびUDP Windows/Linux Agent 環境は本影響を受けません。

■対応方法

本脆弱性への対応として、以下の修正モジュールの適用が必要となります。

<修正モジュール>
P00001478 for UDP 6.5 Update4
P00001480 for UDP 6.5 Update3

 

■修正モジュール適用方法:

<UDP コンソール環境>
UDP 6.5 Update4環境:P00001478.zipから解凍した P00001478.exe を実行し適用します
UDP 6.5 Update3環境:P00001480.zipから解凍した P00001478.exe を実行し適用します

<UDP ゲートウェイ環境>
1.サービス マネージャ を起動し、“Arcserve Remote Management Gateway Service” を停止します。
2.エクスプローラを起動し、以下のフォルダに移動します。
C:\Program Files\Arcserve\Unified Data Protection\Gateway\TOMCAT\webapps\gateway\WEB-INF
3.配下に “classes” フォルダが存在する場合は、同フォルダを削除または別のディレクトリへ退避します。
※デフォルトでは、このフォルダは存在しません。存在しない場合は、次の作業に進みます。
4.続けて、以下のフォルダに移動します。
C:\Program Files\Arcserve\Unified Data Protection\Gateway
5.ManuallyPatch.zip を解凍し、データをコピーします。
コピー対象: GatewayManuallyPatch\Unified Data Protection\Gateway 配下のデータ
コピー先: C:\Program Files\Arcserve\Unified Data Protection\Gateway 配下にコピー
6.“Arcserve Remote Management Gateway Service” を開始します。

※※注意※※
UDP 6.5 Update3 に P00001480 を適用した環境を UDP 6.5 Update4 にアップデートした場合、
脆弱性の修正モジュール P00001480 が上書きされます。UDP 6.5 Update4 へアップデート後 P00001478 を
適用する必要があります。
UDP 6.5 GA, Update1, Update2, Update3 をご利用の場合は、UDP 6.5 Update4 へアップデート後 P00001478 を
適用することをお勧めします。

詳細情報サイト(Arcserve社)

https://support.arcserve.com/s/article/360001392563?language=ja

 

今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、

引き続きご愛顧のほど何卒宜しくお願いいたします。