Acronisの複数バックアップ製品に脆弱性

Acronisが、Windows向けに提供している複数のバックアップ製品に脆弱性が含まれていることが明らかとなった。

「Acronis True Image」では、不正なライブラリファイルを読み込むおそれがある脆弱性「CVE-2020-10140」や、フォルダの権限に問題がある脆弱性「CVE-2020-10139」が判明した。共通脆弱性評価システム「CVSSv3」のベーススコアは、それぞれ「8.7」「8.1」で重要度は「高（High）」と評価されている。

また「Acronis Cyber Backup」「Acronis Cyber Protection」では、意図しないライブラリファイルを読み込む脆弱性「CVE-2020-10138」が明らかとなった。「CVSSv3」のベーススコアは、「8.1」で重要度は「高（High）」とレーティングされている。いずれも、細工されたファイルを特定の場所に設置されると、システム権限でコードを実行されるおそれがある。

同社は脆弱性を修正した「Acronis True Image 2021 Build 32010」「Acronis Cyber​​ Backup 12.5 Build 16363」「Acronis Cyber​​ Protect 15 Build 24600」をリリース。利用者にアップデートを呼びかけている。

（Security NEXT - 2020/10/13 ） ツイート

PR

関連記事

ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
「VMware Aria Operations」や「VMware Tools」に脆弱性 - 修正版を公開
「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開
「WordPress」のキャッシュプラグインにXSS脆弱性
プラネックス製モバイルルータ「ちびファイ4」に脆弱性
「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開