SYM04-017
2004年11月23日
Symantec Windows LiveUpdate にサービス拒否およびディレクトリ･トラバーサルのわずかな危険性

改編履歴
2005 年 1月 14 日 - Symantec Windows LiveUpdate 2.6 の日本語版をリリースしました。

2004 年 12 月 15 日 - Symantec Windows LiveUpdate 2.6 の日本語版リリース予定日を 12 月下旬から 2005 年 1 月中旬に変更いたしました。

危険性
きわめて低

概要
クライアントが Symantec Windows LiveUpdate 機能を使って正しいサーバーまたはなりすましたサーバーからダウンロードを行う際に、軽微なサービス拒否攻撃（Dos）が発生する危険性があるとするアドバイザリーに対し、シマンテックの見解を述べます。また、このアドバイザリーでは、Symantec Windows LiveUpdate がこれに含まれるファイル･パス・データを解凍する際にファイル･パスのインプット情報を正しく認証できないために、一部でディレクトリ・トラバーサルが生じる脆弱性性についても報告されています。

注意：これらの脆弱性を利用して、マルウェアの展開またはクライアント･システムへのリモート･アクセスを行うことはできません。

影響を受けるコンポーネント
Symantec Windows LiveUpdate 1.80.x, 1.90.x, 2.0.x, 2.5.x

解説
前述のアドバイザリーによると、シマンテックの Windows LiveUpdate では、ダウンロードしたアーカイブ zip ファイルのサイズ確認が適切に行われないことが報告されています。これにより、外部の攻撃者が Symantec LiveUpdate のダウンロード･サイトになりすましたり、正当な LiveUpdate サーバーへの特別なアクセス権限を持つ悪意あるインサイダーが過大なサイズの zip ファイルをダウンロード用パッケージに含めることが可能になってしまう場合があります。過大なサイズの zip ファイルを解凍すると、あらゆるシステム資源を消耗し、クライアント・システムにおいて DoS 状態を引き起こす可能性があります。この DoS 状態は、稼働中の Symantec LiveUpdate のプロセスを終了させるか、システムを再起動することで解消できます。またこのアドバイザリーによると、Symantec Windows LiveUpdate では、ダウンロードされたアーカイブ･ファイルのファイル･パスの内容が正しく認証されない場合があります。そのため、攻撃者が、パスを変更して、標的とするシステム上の任意のロケーションにアーカイブ･ファイルをダウンロードすることが可能になります。

シマンテックの対応
Symantec Windows LiveUpdate は、製品およびウイルス定義のアップデートをデスクトップ、ゲートウェイ、サーバーに直接配信するための技術に欠かせないコンポーネントです。シマンテックのエンジニアは上述の問題を詳細に検討しました。このアドバイザリーで報告されていることを実行することは可能ではありますが、Symantec Windows LiveUpdate に関してこのような攻撃を仕掛けて成功する可能性、およびその危険度については、基本的な誤解がいくつかあります。

Symantec LiveUpdate サーバーは、ほかのあらゆるサーバーと同様、不正な指示すなわち攻撃を受けやすい存在です。これはシマンテックだけの問題ではなく、インターネット・インフラの問題です。しかしそのような攻撃を受けた場合でも、なりすまし、すなわち不正な指示による攻撃で何らかの影響を受ける可能性があるのは、膨大なユーザーのごく一部にすぎません。そうした攻撃の性質上、その対象となるのはローカルなインターネット領域であるためです。

現在、Symantec Windows LiveUpdate では最初のダウンロード･ファイルのサイズ認証は行いません。この最初のファイルは、インストールされているシマンテックのアプリケーションの利用可能なアップデート情報を提供する、ごく小サイズのカタログ･ファイルです。Symantec Windows LiveUpdate で使用する zip ライブラリは、最初にダウンロードするアーカイブ･ファイルに含まれるコンテンツのうち特定のサブセットを抜粋したものに過ぎません。そのため、それらのファイルを本来ダウンロードすべきロケーションとは別のロケーションに「リダイレト」しても、ユーザビリティに問題が生じる以外、影響はごくわずかです。

シマンテックでは、上述のアドバイザリーで報告されている問題は危険性が低く、実際に生じる可能性も低いと考えますが、いかなるシマンテック製品についても脆弱性の可能性を指摘する報告はきわめて重要であると考えています。このような行為が行われる危険性を軽減するための機能拡張を反映したアップデート版を、間もなく提供する予定です。 シマンテックは、このような行為が行われる危険性を軽減するための機能拡張を反映した Symantec Windows LiveUpdate v2.6 をリリースしました。

弊社で検証したところ、この脆弱性は現在サポート対象となっている多数のシマンテック製パッケージ製品に同梱の自動 LiveUpdate に存在することを確認しました。この問題は Symantec Windows LiveUpdate v2.6 の最新リリースで対応しています。

Symantec Windows LiveUpdate 2.6 の日本語版ダウンロード：

• 個人/SOHO ビジネス向けの製品をお使いのお客様は こちら からダウンロードしてください
• 企業向けの製品をお使いのお客様は こちら からダウンロードしてください　

現在お使いのシマンテック LiveUpdate のバージョンを確認する方法

1. お使いのシステムにインストール済みのシマンテック製品 (例：Norton AntiVirus 2005） を開きます。
   
   
2. ツールバー内の LiveUpdate をクリックします。
   
   
3. LiveUpdate システムメニューをクリックし、ドロップダウンリストを表示します。
   
   
4. [LiveUpdate バージョン情報]をクリックすると、現在お使いの LiveUpdate のバージョンが表示されます。

現在お使いの Symantec LiveUpdate のバージョンが v2.6 より前の場合は、LiveUpdate を実行するか、あるいは、上記のリンクからダウンロードすることで、Symantec LiveUpdate を最新版に更新してください。アップデートの初期化を行うため、システムの再起動が必要な場合があります。

CVE
本件に対する CVE（Common Vulnerabilities and Exposures）リスト登録候補の識別番号は、今後申請の予定です。識別番号は入手次第、このページでお知らせする予定です。本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト（http://cve.mitre.org）への登録候補となっています。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ： 米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上、問題であるか、あるいは、問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Symantec Vulnerability Response Policy（英語)

シマンテック製品脆弱性 レスポンス用 PGP キー