SYM05-003
2005年2月8日
シマンテックの UPX 解析エンジンにヒープ ･オーバーフローの脆弱性

改編履歴

2005年2月19日：

• 「法人 ･企業向け製品の対応状況」の内容を更新しました。

2005年2月17日：

• 「個人向け製品で影響を受ける製品」の内容を更新しました。

2005年2月14日：

• 「個人向け製品での対応」の内容を更新しました。
• 「個人向け製品で影響を受ける製品」の内容を更新しました。
• 「重要」項目を追加しました。
• Symantec AntiVirus Corporate Edition 9.0、 Symantec Client Security 2.0 の情報を修正しました。
  

2005年2月10日：

• 影響を受ける製品・影響を受けない製品に詳細説明を追加しました。
  

危険性
高

概要
シマンテックは、ISS 社の X-Force から報告されたリモート･アクセスの脆弱性に対応しました。この脆弱性は、UPX 圧縮ファイルの解析を行うシマンテックのウイルス対策スキャニング･モジュールの旧バージョンに存在することが特定されました。シマンテックのごく一部のセキュリティ製品で、依然このモジュールが使用されています。

この脆弱性が存在するコンポーネントは、一部のコンテナ･ファイルを解析してウイルス･チェックを行う際に、境界チェックを適切に行いません。攻撃者は、特別に細工された UPX ファイルを送信することにより、標的とするシステムの侵害が可能となります。

重要
Symantec Security Response は、シマンテック UPX 解析エンジンのヒープオーバーフローに対する脅威をウイルス定義ファイルで検出できるように致しました。
この脆弱性に対する脅威は Bloodhound.Exploit.26 と検出されます。

シマンテックが推奨する完璧な対応策は、この脆弱性が存在しない製品に更新していただく事ですが、（2/9/2005 rev. 32 の拡張版）以降のウイルス定義ファイルに更新する事でもこの脆弱性の影響を受けなくなります。

影響を受ける製品をご使用の場合は、影響のないバージョンに更新いただくか、あるいは LiveUpdate または Intelligent Updater を実行して最新のウイルス定義ファイルで対策を講じてください。

Bloodhound.Exploit.26 に関する詳細は、以下の文書をご参照ください。

Symantec Security Response - Bloodhound.Exploit.26

Symantec Mail Security for Microsoft Exchange 4.0
ビルド 4.0.10.465 より前のバージョンは影響を受けます。4.0.10.465 以降のバージョンでは影響は持ちません。

Symantec Mail Security for Microsoft Exchange 4.5
ビルド 4.5.3 より前のバージョンは影響を受けます。ビルド 4.5.3 以降のバージョンでは影響は持ちません。現在 My Symantec および Platinum サイトで公開されている SMS MSE 4.5.1.725 にはこの脆弱性が存在します。
SMS for MSE 4.x に対する対応版のリリースにつきましては、2005年4月を予定しております。

Symantec AntiVirus/Filtering for Domino NT 3.1
ビルド 3.1.1 より前のバージョン は影響を受けます。ビルド 3.1.1 以降のバージョンでは影響を受けません。現在 My Symantec および Platinum サイトで公開されている SAVF Domino 3.1.0.66 にはこの脆弱性が存在します。
SAVF Domino 3.1 に対する対応版のリリースにつきましては、現在は未定となっております。

Symantec Mail Security for Domino 4.0
ビルド 4.0.1 より前のバージョン は影響を受けます。ビルド 4.0.1 以降のバージョンでは影響を受けません。現在 My Symantec および Platinum サイトで公開されている SMS for Domino 4.0.0.29 にはこの脆弱性が存在します。
SMS for Domino 4.0 に対する対応版のリリースにつきましては、2005年5月を予定しております。

Symantec AntiVirus Scan Engine 4.3
ビルド 4.0.x の全てのバージョン、および 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus Scan Engine for ISA 4.3
ビルド 4.0.x の全てのバージョン、および 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus Scan Engine for Netapp Filer 4.3
ビルド 4.0.x の全てのバージョン、および 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus Scan Engine for Netapp NetCache 4.3
ビルド 4.0.x の全てのバージョン、および 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus Scan Engine for Bluecoat 4.3
ビルド 4.0.x の全てのバージョン、および 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus for Network Attached Storage
ビルド 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus for Caching
ビルド 4.3.3 より前のバージョン は影響を受けます。ビルド 4.3.3 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus for　SMTP 3.1
ビルド 3.1.7 より前のバージョン は影響を受けます。ビルド 3.1.7 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec Mail Security for SMTP 4.0
ビルド 4.0.2 より前のバージョン は影響を受けます。ビルド 4.0.2 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec Web Security 3.0
ビルド 3.0.1.70 より前のバージョン は影響を受けます。ビルド 3.0.1.70 以降のバージョンでは影響を受けません。影響のあるバージョンをご使用の場合は、My Symantec および Platinum サイトで公開されている最新バージョンを入手してください。

Symantec AntiVirus Corporate Edition 9.0
SAVCE 9.0 は、この影響を受けません。SAVCE 9.0 をご使用の場合は、この脆弱性に対する対策を行う必要がありません。

Symantec Client Security 2.0
SCS 2.0 は、この影響を受けません。SCS 2.0 をご使用の場合は、この脆弱性に対する対策を行う必要がありません。

Symantec AntiVirus Corporate Edition 8.01, 8.1.1 （英語版）
本バージョンは、英語版でリリースされていたバージョンのみ影響を受けます。英語版の下記バージョンをご使用の場合は、最新バージョンを入手してください。日本語版 SAVCE 8.0/8.1 をご使用の場合は、この脆弱性の影響は受けません。

• Symantec AntiVirus Corporate Edition 8.1.1 Build 8.1.1.314a
  
• Symantec AntiVirus Corporate Edition 8.1.1 Build 8.1.1.319
  
• Symantec AntiVirus Corporate Edition 8.1.1 Build 8.1.1.323
  
• Symantec AntiVirus Corporate Edition 8.1.1 Build 8.1.1.329
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.434
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.437
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.446
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.457
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.460
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.464
  
• Symantec AntiVirus Corporate Edition 8.01 Build 8.01.471
  
  

Symantec Client Security 1.0, 1.1 （英語版）
本バージョンは、英語版でリリースされていたバージョンのみ影響を受けます。英語版の下記バージョンをご使用の場合は、最新バージョンを入手してください。日本語版 SCS 1.0/1.1 をご使用の場合は、この脆弱性の影響は受けません。

• Symantec Client Security 1.1.1 MR1 Build 8.1.1.314a
  
• Symantec Client Security 1.1.1 MR2 Build 8.1.1.319
  
• Symantec Client Security 1.1.1 MR3 Build 8.1.1.323
  
• Symantec Client Security 1.1.1 MR4 Build 8.1.1.329
  
• Symantec Client Security 1.1.1 MR5 Build 8.1.1.336
  
• Symantec Client Security 1.0.1 MR3 Build 8.01.434
  
• Symantec Client Security 1.0.1 Build 8.01.437
  
• Symantec Client Security 1.0.1 MR4 Build 8.01.446
  
• Symantec Client Security 1.0.1 MR5 Build 8.01.457
  
• Symantec Client Security 1.0.1 MR6 Build 8.01.460
  
• Symantec Client Security 1.0.1 MR7 Build 8.01.464
  
• Symantec Client Security 1.0.1 MR8 Build 8.01.471
  

Norton AntiVirus Corporate Edition 7.6
NAVCE 7.6 は、この脆弱性の影響は受けません。NAVCE 7.6 をご使用の場合は、この脆弱性に対する対策を行う必要がありません。

Symantec Gateway Security 2.0, 2.0.1～ 5400 Series
Symantec Gateway Security 1.0 ～ 5300 Series
この脆弱性に対応した Hot Fix がリリースされています。Hot Fix は、テクニカルサポート Web サイトよりダウンロードしてください。
http://www.symantec.com/region/jp/techsupp/enterprise/select_product_updates.html

Norton Antivirus 9.0 for Macintosh
NAV Mac 9.0 のこの脆弱性の影響を受けます。対応版のリリースは現在未定です。

個人向け製品で影響を受ける製品
Symantec Norton Antivirus 2004 for Windows
Symantec Norton Internet Security 2004 (pro) for Windows
Symantec Norton System Works 2004 for Windows
Symantec Norton Antivirus 9.0 for Macintosh
Symantec Norton Internet Security 3.x for Macintosh
Symantec Norton System Works 3.x for Macintosh

※Macintosh 製品に関しては、Mac OS X にインストールされている場合にのみ影響を受けます。


個人向け製品での対応
LiveUpdate を実行することで、この脆弱性に対応します。

Macintosh 製品に関する対応の詳細は下記の文書をご参照ください。

UPX 解析エンジンのヒープ ･オーバーフローの脆弱性とシマンテック Macintosh 用製品の対応
http://service1.symantec.com/SUPPORT/INTER/nuavmacjapanesekb.nsf/jp_docid/20050214165600948

個人向け製品で影響を持たない製品
Symantec Norton Antivirus 2003
Symantec Norton Internet Security 2003 (pro)
Symantec Norton System Works 2003
Symantec Norton AntiVirus 2005
Symantec Norton Internet Security 2005
Symantec Norton System Works 2005 (Premier)
Symantec AntiVirus for Handhelds (DEC2EXE モジュールはインストールされていません)
Symantec Norton Antivirus 7.x for Macintosh
Symantec Norton Antivirus 8.x for Macintosh
Symantec Norton Internet Security 2.x for Macintosh
Symantec Norton System Works 2.x for Macintosh

解説
弊社は ISS 社の X-Force から、弊社のスキャン ･エンジンの旧バージョンに使用されている DEC2EXE 解析エンジン ･モジュールに 脆弱性 を発見したという報告を受けました。この脆弱性が発見された DEC2EXE エンジンは、特別な細工がされた UPX ファイルが送信された場合、それを解析することによってヒープ ･オーバーフローを発生させる可能性があります。このような攻撃が成功すると、リモートで任意のコードの実行が可能となり、標的となるシステムを侵害する可能性があります。

シマンテックの対応
弊社は、ISS 社が特定した脆弱性が元の DEC2EXE エンジンに存在することを確認しました。現在では圧縮ファイルの解析に DEC2EXE エンジンを使用する必要がありません。そのため、弊社では、この脆弱性について ISS 社より連絡を受ける以前から、大半のシマンテック製品に実装されているスキャン ･エンジンの更新版において、すでに DEC2EXE エンジンを削除していました。さらに弊社は、影響を受けるすべてのシマンテック製品のバージョンについて、今後のメンテナンス更新の際に DEC2EXE エンジンを削除していく計画でした。

更新の推奨
通常のベスト ･プラクティスの一環として、お使いのコンピュータにインストールされているすべてのオペレーティング・システムおよびアプリケーションに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。脆弱性の存在しない最新の製品バージョン／ビルドをまだご使用でないお客様は、この種の脅威に対応するために、適切な製品更新版に直ちにアップグレードすることを強く推奨します。

弊社では、本件の影響を受ける製品バージョンのうち、最新の製品ビルド・リリースにおいてもまだアップグレードされていない全バージョンに対し、更新版またはメンテナンス ･リリースを開発し、リリースしました。LiveUpdate 対応製品の場合、この更新版およびメンテナンス ･リリースは LiveUpdate を通じて入手いただけます。それ以外の製品の場合は、シマンテックのテクニカル ･サポートのページ http://www.symantec.com/region/jp/techsupp/ からダウンロードが可能です。 Symantec Gateway Security 5300 Series のアップグレードおよび
Symantec Gateway Security 5400 Series のアップグレード： 弊社は本件の影響を受ける Symantec Gateway Security 5300 および 5400 Series アプライアンス用のテスト済み hotfix を弊社サーバーにアップロードしました。この hotfix は、影響を受ける製品上の DEC2EXE エンジンを削除し、スキャン ･エンジンを新バージョンにアップグレードします。脆弱性の存在しない最新の製品バージョン／ビルドをまだご使用でないお客様は、このタイプの脅威に対応するために、適切な製品更新版に直ちにアップグレードすることを強く推奨します。

製品別 hotfix はシマンテックのエンタープライズ・サポートサイト http://www.symantec.com/region/jp/techsupp/enterprise/select_product_updates.html を通じて入手いただけます。

上述の問題を実際に悪用した攻撃の試みに関する情報や、この問題に起因した企業・法人組織からの被害報告は受けておりません。

CVE
CVE CVE（Common Vulnerabilities and Exposures）推進グループは、ISS 社の X-Force から報告された問題について、識別番号をまだ付けていません。
本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。識別番号は入手次第、このページでお知らせする予定です。

クレジット
本件の弊社へのご連絡、ならびに対応作業中に多大なご協力をいただきました X-Force リサーチ・チームの皆様、とりわけ Alex Wheeler 氏に深く感謝いたします。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ： 米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Symantec Vulnerability Response Policy (英語)

シマンテック製品脆弱性 レスポンス用 PGP キー