SYM07-001
2007年1月24日
Symantec Web Security に複数の脆弱性

改編履歴
なし

危険性
中

概要
Symantec Web Security（SWS）製品に、クロスサイト・スクリプティングおよびサービス拒否の脆弱性が発見されました。

脆弱性が存在する製品

解説
SWS 製品において、クライアントに返されるエラー・メッセージまたはページにアクセスできないというメッセージ中の HTML タグに埋め込まれた URL のチェックと解析が正しく行われません。

攻撃者が、悪質なスクリプト・コマンドをある特定の URL に埋め込むことに成功すると、クライアントのブラウザはその悪質なコマンドで指定されたコンテキストでコマンドを実行します。これにより、SWS エラーおよびページのブロックを伴う脆弱な HTML ページが生成されます。クロスサイト・スクリプティングは Web ベースの攻撃であり、Web サーバへの接続に使用されるブラウザを介してスクリプトの実行を狙うものです。Web ベースの管理コンソールである SWS では、要求しているクライアントに返されるエラー・メッセージやページにアクセスできないというメッセージ中にある SWS 自体の HTML タグに対し、チェックおよび解析が正しく行われていませんでした。

この種の攻撃では、コマンドの発行や管理境界外に URL を生成することが可能なトロイの木馬などの悪質な入力によって、データ・ストリームにさらに入力することが必要となります。たとえば、アクセスできないリンクや不正なフォーマットなどを指定することがあります。セキュリティ・ゲートウェイではこの URL を拒否しますが、この時、適切な検証が行われずに有害な URL が返されます。クライアントのブラウザは、設定にもよりますが、その URL に埋め込まれた悪質なコンテンツに従って動作することがあります。また、サービス拒否の脆弱性が存在していることも確認されました。権限のないユーザが、ライセンス登録インターフェースを使用して、きわめて大規模なファイルを Symantec Web Security に送信することが可能です。この不正なユーザがきわめて大規模なファイルのアップロードを試みると、その後のプロセスによってシステムのパフォーマンスが低下し、サービス拒否が発生する可能性があります。

弊社の対応
シマンテックは Symantec Web Security 3.0.1.85 におけるこの問題を修正し、アップデートのダウンロードを提供しています。アップデートは以下のサイトからダウンロードできます。

クレジット
本件の第一発見者は、Mikko Korppi 氏です。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ：米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Symantec Vulnerability Response Policy (英語)

シマンテック製品脆弱性 レスポンス用 PGP キー