Secunia、CA製バックアップ製品の安全性を警告

文:Tom Espiner(CNET News.com) 翻訳校正:編集部

2008-01-17 18:39

 セキュリティ企業であるSecuniaによると、アンチウィルスコンポーネントを搭載している一部のCA製品には「コード上に本質的な問題」が存在しているという。同社は現地時間1月14日に、セキュリティ脆弱性についての年次報告書を公開している。

 Secuniaが非難しているCA製品の1つは「ARCserve Backup」だった。同社はこの製品のコードの記述が不十分であると指摘している。

 Secuniaの最高技術責任者(CTO)であるThomas Kristensen氏は15日に、CNET News.comの姉妹サイトであるZDNet UKに対して、「ARCserveは本質的に安全性に問題がある」と語った。同氏は「この製品は、不十分な設計に基づいた不十分なコードとなっている。製品をリリースする前に、内部のコードレビューにおいて、修正すべきコードの問題を洗い出しておくべきだった」と述べている。

 CAは、ZDNet UKに対する声明のなかで、同社の品質保証手順を強化しているところだと述べた。

 CAは声明のなかで「CAはソフトウェアのセキュリティというものを非常に真剣に捉えている」と述べるとともに、「CAは、脆弱性が発生しないようにするとともに、積極的に脆弱性を洗い出し、対策を講じるべく常に努力している。われわれは自社のソフトウェアの品質を確保するために厳格な手段を講じており、今後もこういった手段を強化していく」と述べている。

 Secuniaによると、アンチウィルス機能と暗号化機能を組み込んだCAのデータ保護製品であるARCserve Backupは、2007年6月に複数の脆弱性があると報告されていたという。Secuniaのアドバイザリによると、こういった脆弱性には、攻撃者にシステムへの侵入を許すスタックベースのバッファオーバーフローが可能となる脆弱性も含まれていたという。

 Secuniaは、こういった脆弱性がCAに報告され、コードの問題のいくつかを修正するパッチがCAによってリリースされたと述べている。

 しかし、「Secunia 2007 Report」(PDFファイル)によると、Secuniaの技術者らがパッチ適用済みの製品を分析したところ、約60にのぼる報告済みの脆弱性が依然として存在していることが明らかになったという。

 Secuniaはその分析のなかで、こういった脆弱性の一部は製品のコード自体の性質に起因するものであり、脆弱性はいまだに残っていると主張している。

 報告書には「コードが見直されない限り、この製品は類似の脆弱性を突かれる危険を抱えたままとなる」と記述されている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]