SYM08-005
2008 年 2 月 20 日
シマンテックの Veritas Storage Foundation で、Veritas Enterprise Administrator にヒープオーバーフローの脆弱性

改編履歴
なし

危険性
大（構成により大きく異なる）

概要
Veritas Enterprise Administrator（VEA）のコンポーネント、具体的には、管理サービス機能にヒープオーバーフローの脆弱性の存在が確認され、解決されました。VEA は、Veritas Storage Foundation の管理 GUI コンポーネントです。この脆弱性を悪用することにより、Veritas Storage Foundation for Windows および Veritas Storage Foundation for Unix のバージョン 5.0 で 管理サービスのクラッシュが引き起こされる可能性があります。Veritas Storage Foundation 5.0 for Windows では、リモートでコードが実行される可能性が確認されました。

注： 本件の影響を受けるプラットフォームおよびバージョンは上記のみです。

解説
シマンテックは 3Com/ZDI から、Symantec VEA の管理サービス機能にヒープオーバーフローの脆弱性が存在するという報告を受けました。この脆弱性は、管理サービスに引き渡されたデータを正しく認証できないことが原因で引き起こされます。特別に細工されたパケットが脆弱なサービスに受け渡されると、影響を受けるバージョンの Veritas Storage Foundation for Windows および Veritas Storage Foundation for Unix をお使いの場合、管理サービスが突然終了されます。影響を受けるバージョンの Veritas Storage Foundation for Windows では、任意のコードの実行が許可される可能性が確認されました。この脆弱性の悪用に成功すると、特権レベルで標的となるシステムが侵害される可能性があります。

この脆弱性の悪用が成功した場合、それはネットワーク上で正当な権限を持つ悪質なユーザー、または特定のネットワークセグメントへの不正アクセスを悪用する個人による内部攻撃の結果であると考えられます。シマンテックが推奨するインストレーションを行っているお客様の場合、外部からの不正な経路による不正なリモートアクセスの危険性を大幅に緩和することができます。そのため、一般の内部ネットワークによる危険は制限または回避されます。さらに、コーポレートネットワークの外部における危険も回避されます。

弊社の対応
シマンテックでは、自社製品およびお客様のセキュリティに対して真剣に取り組んでいます。シマンテックは本件を確認し、脆弱性が存在する弊社の Veritas Enterprise Administrator のうち、現在サポート対象となっているすべてのバージョンについて、問題を修正済みです。

現在サポート対象となっているすべての製品について、更新版が提供されています。お客様のセキュリティ状況を強化し、この種の脅威から保護するために、サポート対象の製品バージョンに製品更新版を適用することを強く推奨します。

シマンテックは、本件の悪用についての報告、または本件に起因した被害報告は受けておりません。

影響を受ける製品向けの修正プログラムに関する詳細は、以下のサイトから入手いただけます。
http://entsupport.symantec.com/docs/297327

ベストプラクティス
通常のベストプラクティスの一環として、以下のことを強く推奨します。

• 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
• 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
• 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
• すべてのオペレーティング システムとアプリケーションを、ベンダーが提供する最新の修正プログラムを適用することで、常に最新の状態にしておきます。
• 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、ネットワーク内外へのトラフィックに潜む脅威を複数の場所で検出および防止します。
• ネットワーク侵入検知システム（IDS）を導入し、ネットワークトラフィック上で不審なまたは異常なアクティビティの兆候がないかどうか監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそうした攻撃が成功した場合に発生する不正行為の検知が可能になります。

クレジット
本件の報告と問題解決にあたりご協力いただいた 3Com/ZDI の Sebastian Apelt 氏に感謝いたします。

参考情報
CVE（Common Vulnerabilities and Exposures）推進グループは、本件に対し CVE-2008-0638 という識別番号を付けました。
本件は、様々なセキュリティ問題の名称が標準化されている Common Vulnerabilities and Exposures（CVE）リスト（http://cve.mitre.org）への登録候補となっています。

SecurityFocus は本件に対し、識別番号 BID 25778 を割り当てました。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ：米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Symantec Vulnerability Response Policy (英語)

シマンテック製品脆弱性 レスポンス用 PGP キー