Secunia、CA製バックアップ製品の安全性を警告

文:Tom Espiner(CNET News.com) 翻訳校正:編集部

2008-01-17 18:39

 セキュリティ企業であるSecuniaによると、アンチウィルスコンポーネントを搭載している一部のCA製品には「コード上に本質的な問題」が存在しているという。同社は現地時間1月14日に、セキュリティ脆弱性についての年次報告書を公開している。

 Secuniaが非難しているCA製品の1つは「ARCserve Backup」だった。同社はこの製品のコードの記述が不十分であると指摘している。

 Secuniaの最高技術責任者(CTO)であるThomas Kristensen氏は15日に、CNET News.comの姉妹サイトであるZDNet UKに対して、「ARCserveは本質的に安全性に問題がある」と語った。同氏は「この製品は、不十分な設計に基づいた不十分なコードとなっている。製品をリリースする前に、内部のコードレビューにおいて、修正すべきコードの問題を洗い出しておくべきだった」と述べている。

 CAは、ZDNet UKに対する声明のなかで、同社の品質保証手順を強化しているところだと述べた。

 CAは声明のなかで「CAはソフトウェアのセキュリティというものを非常に真剣に捉えている」と述べるとともに、「CAは、脆弱性が発生しないようにするとともに、積極的に脆弱性を洗い出し、対策を講じるべく常に努力している。われわれは自社のソフトウェアの品質を確保するために厳格な手段を講じており、今後もこういった手段を強化していく」と述べている。

 Secuniaによると、アンチウィルス機能と暗号化機能を組み込んだCAのデータ保護製品であるARCserve Backupは、2007年6月に複数の脆弱性があると報告されていたという。Secuniaのアドバイザリによると、こういった脆弱性には、攻撃者にシステムへの侵入を許すスタックベースのバッファオーバーフローが可能となる脆弱性も含まれていたという。

 Secuniaは、こういった脆弱性がCAに報告され、コードの問題のいくつかを修正するパッチがCAによってリリースされたと述べている。

 しかし、「Secunia 2007 Report」(PDFファイル)によると、Secuniaの技術者らがパッチ適用済みの製品を分析したところ、約60にのぼる報告済みの脆弱性が依然として存在していることが明らかになったという。

 Secuniaはその分析のなかで、こういった脆弱性の一部は製品のコード自体の性質に起因するものであり、脆弱性はいまだに残っていると主張している。

 報告書には「コードが見直されない限り、この製品は類似の脆弱性を突かれる危険を抱えたままとなる」と記述されている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  2. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]