JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2020年12月24日、「JVNVU#93089606: Veritas 製 Veritas Backup Exec に権限昇格の脆弱性」において、ベリタスのバックアップソフト「Veritas Backup Exec」に緊急の脆弱性が存在すると伝えた。この脆弱性を悪用されると、影響を受けたシステムにおいてSYSTEM権限で任意のコードが実行される危険性があるとされており注意が必要。
脆弱性に関する情報は次のページにまとまっている。
- Backup Exec OpenSSL advisory | Veritas
- VU#429301 - Veritas Backup Exec is vulnerable to privilege escalation due to OPENSSLDIR location
- Backup Exec 21.1 Hotfix 657517
- Backup Exec 20.6 Hotifx 298543
脆弱性が存在するとされるプロダクトは次のとおり。
- Veritas Backup Exec バージョン 20.x
- Veritas Backup Exec バージョン 21.x
- Veritas Backup Exec バージョン 16.x
- サポートが終了したバージョンのVeritas Backup Exec
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Veritas Backup Exec 21.1 Hotfix 657517
- Veritas Backup Exec 20.6 Hotfix 298543
-
Backup Exec OpenSSL advisory | Veritas
Veritas Backup Exec version 16.xおよびこれよりも前のバージョンを使用している場合、Veritas Bacup Exec 21.2へのアップグレードが推奨されている。この脆弱性はCVSS v3スコアが9.3で深刻度は緊急に分類されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。
