SYM04-008
2004年5月12日
Symantec Client Firewall - 不正リモートアクセスとサービス拒否の脆弱性と対応

改編履歴
なし

危険性
高

概要
eEye Digital Security 社から、Windows 版のシマンテック・クライアント・ファイアウォール製品で 4 つの脆弱性を発見したとの報告がありました。これらの脆弱性が悪用された場合、標的のシステムが動作不能に陥ったり、攻撃者のコードが kernel レベルの特権を使ってリモートから実行されたりする可能性があります。

影響を受けるコンポーネント
個人のお客様向け製品:
Symantec Norton Internet Security/Professional 2002, 2003, 2004
Symantec Norton Personal Firewall 2002, 2003, 2004
Symantec Norton AntiSpam 2004
企業・法人のお客様向け製品:
Symantec Client Firewall 5.01, 5.1.1
Symantec Client Security 1.0, 1.1, 2.0(SCF 7.1)

解説
eEye Digital Security 社から、シマンテック製クライアント・ファイアウォール・アプリケーションの製品テスト中に 4 つの脆弱性を発見したという報告がありました。同社によると、Kernel レベルのアクセスがリモートで取得されるおそれが生じたケースが 3 件見つかったとのことです。また、同社は、前述の製品にはサービス拒否 (DoS) の脆弱性も存在し、問題が発生した場合にシステムを再度使用可能な状態に戻すには、システムを再起動せざるを得なくなるとも報告しています。

今回報告された脆弱性はすべて、SYMDNS.SYS コンポーネントのルーチン内で発生します

第 1 の脆弱性は、DNS 応答におけるスタック・オーバーフローです。この問題は、外部入力データの境界チェックを適切に行わないことが原因で発生します。この問題が悪用された場合、攻撃者のコードが標的のシステム上で kernel レベルの特権を使用してリモート実行されるおそれがあります。

第 2 の脆弱性は、NetBIOS ネーム・サービスの応答を処理する際にスタック・オーバーフローが生じる問題です。この問題が発生すると、メモリが上書きされるおそれがあります。攻撃者がこの脆弱性の利用に必要な状況を作り出すことに成功した場合、その攻撃者は、標的のシステム上で任意のコードを kernel レベルの特権で実行可能になる可能性があります。

第 3 の脆弱性は、NetBIOS ネーム・サービスの応答を処理する際に境界チェックを適切に行わないことが原因で、メモリヒープが破壊されるおそれが生じる問題です。攻撃者がこの状況の悪用に成功した場合、その攻撃者は、標的のシステム上で任意のコードを kernel レベルの特権で実行可能になる可能性があります。

第 4 の脆弱性は、DNS 応答パケットを適切に処理しないことが原因でサービス拒否 (DoS) の状況が生じるおそれがあることです。不正に設定された DNS 応答パケットが送信された場合、標的となったシステムが停止に陥り、この状況を解消し、システムアクセスを取り戻すためにはシステムの再起動を余儀なくされる状態となります。

シマンテックの対応
弊社は、上記の脆弱性が個人および企業・法人向けのシマンテック・クライアント・ファイアウォール・アプリケーションならびに Norton AntiSpam 2004 アプリケーションに存在することを確認し、これらの脆弱性に対応する修正パッチを開発し、リリースしました。個人向け製品（Symantec Norton Internet Security/Professional、Symantec Norton Personal Firewall、Symantec Norton AntiSpam）の場合、本件の影響を受ける製品用の修正パッチはすべて、Symantec LiveUpdate を通じて入手いただけます。企業・法人向け製品（Symantec Client Firewall、Symantec Client Security）の場合、テクニカルサポートのページから修正プログラムをダウンロードし、適用する必要があります。

個人のお客様向け製品:をお使いの方
本件の影響を受ける製品のうち、個人のお客様向けの製品をお使いの場合、Symantec LiveUpdate を定期的に実行していれば、本件にはすでに対応済みのはずですが、念のため、次の手順に従って、Symantec LiveUpdate を手動で実行することで、現在利用可能なすべての更新がインストールされていることを確認してください。

• インストール済みのシマンテック製品を開きます。
  
• ツールバー内の LiveUpdate をクリックします。
  
• 利用可能なシマンテック製品向け更新ファイルがすべてダウンロードされ、インストールされるまで、LiveUpdate を実行します。
  
• お使いのアプリケーションによっては、上記操作の実行後、利用可能なシマンテック製品向け更新ファイルを有効にするために、システムの再起動が必要となる場合があります。
  

企業・法人のお客様向け製品:をお使いの方
企業・法人のお客様向けの Symantec Client Firewall または Symantec Client Security 製品をお使いの場合、こちらから修正プログラムをダウンロードし、適用してください。

上述の問題を実際に悪用した攻撃の試みに関する情報や、この問題に起因した弊社製品ユーザからの被害報告は受けておりません。

CVE
CVE（Common Vulnerabilities and Exposures）推進グループは、上述の脆弱性に識別番号を付けました。

第 1 ～ 第 3 の脆弱性には、CAN-2004-0444 という識別番号が付けられました。

第 4 の脆弱性である、NetBIOS ネーム・サービスにおけるサービス拒否の脆弱性に対しては、CAN 2004-0445 という識別番号が付けられました。

本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。

クレジット
本件に関する技術的な問題点の特定と情報提供にご協力くださった eEye Digital Security 社リサーチ・チームの皆様に深く感謝いたします。

シマンテック製品のセキュリティに関する情報の連絡先
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety (OIS) の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC (National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会) による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上、問題であるか、あるいは、問題となり得る点を発見した場合は、secure@symantec.com (米国) までご一報ください。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com (米国) まで送信くださるようお願いいたします。SymSecurity PGP キーは、こちらから入手いただけます。