logo

Secunia、CA製バックアップ製品の安全性を警告 - (page 2)

文:Tom Espiner(CNET News.com) 翻訳校正:編集部2008年01月17日 18時39分
  • このエントリーをはてなブックマークに追加

 Kristensen氏によると、1つの製品中に60にのぼる脆弱性が見つかったことに「驚いた」が、パッチの適用された製品、しかもセキュリティベンダーによってリリースされたものに同じ脆弱性がいくつも残っていたことにはもっと驚いたという。

 Kristensen氏は「セキュリティベンダーによってパッチが適用された製品に脆弱性が存在しているということは奇妙なことだ」と述べるとともに、「バックアップ用の製品はシステムを構成するすべてのワークステーションに配備されるということを考えると、こういった製品に脆弱性が存在することでシステムがより脆弱になるため、これは望ましい状況とは言えない」と述べている。

 CAは、ARCserveのパッチがどれほど有効であったかについてコメントを避けた。

 セキュリティベンダーのSymantecも、「Symantec Mail Security」でサードパーティーのAutonomyにより開発されたKeyViewソフトウェア開発キットを使用しているとして、Secuniaの報告書で批判されている。Secuniaのアドバイザリによると、Symantec Mail SecurityにおいてLotus 1-2-3ファイルビューワとして使用されているAutonomy KeyViewには、特別な細工を施されたファイルをチェックした際にバッファオーバーフロー攻撃が引き起こされるという脆弱性が存在しているという。Secuniaによって(5段階評価の中で2番目に高い)「きわめて深刻(highly critical)」と分類されたこの脆弱性を突かれると、遠隔地から任意のコードを実行することが可能になる。

 Secuniaによると、この問題は2007年12月12日に報告されていたにもかかわらず、同脆弱性に対するパッチはリリースされていないという。Kristensen氏は、Symantecが直面している問題は、パッチの提供においてサードパーティーに依存しなければならない点だと述べている。

 「ベンダーは機能を追加するためにサードパーティーからソフトウェアを購入する。KeyViewの抱える問題は、それがSymantecのコントロールできないサードパーティー製のソフトウェアだということだ。Symantecは他の企業に頼らなければアップデートを入手できないのである」(Kristensen氏)

 Kristensen氏は、SymantecとAutonomy、そして同様に影響を受けているIBMの間でコミュニケーションチャネルがきちんと確立されていないように見受けられるとも述べている。

 「IBMとSymantec、そしてAutonomyが同じ日にパッチをリリースすることが理想だ」(Kristensen氏)

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]