1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細
  • ブックマーク

セキュリティ アドバイザリー - シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題

SYM12-017

2012/11/07

改訂履歴

2012/11/8 - 「緩和策」に情報を追加しました。
2012/11/11 - 情報を明確にするために、すでにライフサイクルが終了した Symantec Scan Engine および Symantec AntiVirus 10 の影響を受けるバージョンについての情報を追加しました。
2012/11/14 - Decomposer Update Tool をご利用いただく場合の情報を追加しました。
2012/11/28 - SEP 11.0 と 12.0 SBE の Decomposer (圧縮解凍エンジン) を更新し、Symantec LiveUpdate を通じてリリースしました。

危険性

Decomposer (圧縮解凍エンジン) における CAB ファイルの不十分な境界チェック - 高
CVSS2 基本値 影響度 攻撃容易性 CVSS2 基本区分
9.33 10 8.58 AV:N/AC:M/Au:N/C:C/I:C/A:C

概要

シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) で、いくつかの種類の CAB アーカイブ内のファイルを解析するときに、境界チェックが適切に処理されません。これにより、多くの場合でアプリケーションがクラッシュする可能性があります。細工に成功した悪質な CAB ファイルは、標的とするシステムで任意のコードが実行される原因となる可能性があります。

影響を受ける製品

製品名 バージョン ビルド 解決策
Symantec Endpoint Protection 11.0 すべて LiveUpdate を実行して下記の「緩和策」を実装するか、SEP 12.1 にアップグレードする
Symantec Endpoint Protection
Small Business Edition
12.0 すべて LiveUpdate を実行して下記の「緩和策」を実装するか、SEP 12.1 にアップグレードする
Symantec Endpoint Protection
Small Business Edition 2013
SEP SBE 2013 (旧 Symantec Endpoint Protection.cloud) クラウド管理をご利用のお客様に対しては、この問題は解決済み すべて Windows Server または Windows XP 64 ビットコンピュータの保護エージェントを含む既存の再頒布可能パッケージをお持ちのすべてのお客様は、このパッケージを再作成する必要がある
Symantec AntiVirus
Corporate Edition (SAVCE)
10.x すべて SAVCE 10.x はライフサイクルが終了しているため、下記の「緩和策」を実装するか、SEP 12.1 にアップグレードする
Symantec Scan Engine (SSE) 5.2.7.x および
それ以前 (EOL)
すべて SSE 5.2.8 またはそれ以降。
Symantec Protection Engine for Cloud Services 7.0.x

注意: 上記の製品およびバージョンが本件の影響を受けます。SSE 5.2.7.x およびそれ以前のバージョンは、すでにライフサイクルが終了しております。また、SAVCE 10.x もライフサイクルが終了しております。

上記以外の現在サポート対象の製品は影響を受けません。

解説

シマンテックは CERT (United States Computer Emergency Readiness Team) から、いくつかの種類の CAB ファイルからコンテンツを解凍するときに境界チェックが適切に行われない問題が存在するという報告を受けました。シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) は、CAB アーカイブからのスキャン時におけるコンテンツの解析で、いくつかの特定の形式に細工されたファイルに対する適切な境界チェックに失敗します。これにより、サービス拒否が発生し Symantec Endpoint Protection アプリケーションがクラッシュする可能性があります。現在も検証は進行中ですが、悪質なコンテンツの開発と攻撃に成功した場合、このような CAB ファイルの悪質なコンテンツは、アプリケーションの権限によってクライアント上でリモートから任意のコードが実行される原因になる可能性があります。

このようなタイプの攻撃に成功するには、攻撃者は構築された電子メールのセキュリティポリシーを通過させて悪質な形式に細工されたアーカイブを取得し、システム上で処理する必要があります。したがって、このような試みが成功する回数は少なくなる可能性はありますが、攻撃に成功した場合の危険度は低減しません。

弊社の対応

シマンテックは、旧バージョンの Decomposer (圧縮解凍エンジン) に、このような不正な形式のファイルが原因でクラッシュが発生する問題が存在することを確認しました。潜在的な問題は存在しますが、この動作を悪用したリモートコードの実行は確認されておりません。

弊社製品の最新バージョンのリリースでは更新済みのバージョンの Decomposer (圧縮解凍エンジン) を実行しており、CERT から報告された問題の影響は受けません。

このタイプの脅威に対応するため、影響を受けるお客様には、SEP 製品を最新バージョンに移行することを推奨します。

シマンテックは、この問題の悪用またはこの問題によるお客様の被害について報告を受けておりません。

緩和策

SEP 11.0 または 12.0 SBE クライアント: Symantec LiveUpdate を通じて、更新版の Decomposer (圧縮解凍エンジン) をダウンロードしてください。

シマンテックは、SEP 11.0 と 12.0 SBE クライアント向けに、脆弱性が解消された最新の Decomposer (圧縮解凍エンジン) を更新しました。この更新プログラムは、SEP クライアントの LiveUpdate オプションを使ってダウンロードするか、Symantec Endpoint Protection Manager や Group Update Provider から配布することができます。

弊社は、Decomposer (圧縮解凍エンジン) の更新に関する詳細情報をまとめた次の文書を公開しました。
TECH200168

代替の緩和策
緩和策の詳細と例については、次のナレッジベースの記事を参照してください。
TECH199470
「SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について」

Symantec AntiVirus 10.x クライアントもこの脆弱性の影響を受けます。SAV 10.x はすでに公式にライフサイクルが終了しており、現在サポートされていません。ただし、SAV 10.x をお使いのお客様がこの脆弱性を緩和したい場合は、下記の手動による緩和策をお使いいただくか、現行バージョンの Symantec Endpoint Protection にアップグレードしてください。

方法 1: Symantec Decomposer Update Tool の適用
シマンテックは、Symantec Endpoint Protection 11.0.5 から 11.0.7 MP3 を実行しているクライアントを最新の Decomposer (圧縮解凍エンジン) に更新するための Decomposer Update Tool (SYM12_017_Fixtool.exe) をリリースしました。

SEP 11.0 RU5 よりも前のバージョンは SYM12_017_Fixtool.exe ツールではサポートされていません。また、SEP 12.0 もこのツールではサポートされていません。

Decomposer Update Tool のダウンロード、ツールの機能や使い方の確認をするには、次のナレッジベースの記事を参照してください。
TECH199470
「SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について」

方法 2: CAB ファイルのスキャンの無効化
この脆弱性の緩和策として、修正プログラムが提供されるか、現行リリースの SEP 12.1 にお客様が移行するまで、CAB ファイルのスキャンを無効にしてください。

注意: この方法では、手動スキャンまたは定時スキャン時に、CAB ファイル内の内容を Decomposer (圧縮解凍エンジン) がスキャンすることのみが無効になります。CAB ファイルの解凍中に Auto-Protect、手動スキャン、または定時スキャンにより脅威が検出され、検出されたすべての脅威が修復されます。

CAB ファイルのスキャンを無効にするには、次の手順を行います。
  1. Windows エクスプローラで、Symantec Endpoint Protection のインストールフォルダを開きます。このフォルダの場所は製品やオペレーティングシステムによって異なります。SEP 11.x のデフォルトのインストールフォルダは、C:\Program Files\Symantec\Symantec Endpoint Protection\ です。
  2. Dec3_backup.cfg などの名前で、ファイル Dec3.cfg のバックアップコピーを作成します。
  3. メモ帳など、ASCII 形式のテキストエディタでファイル Dec3.cfg を開きます。
  4. ファイルの 5 行目に、それ以降に記載されている .dll ファイルの数を示す数字が含まれています。これを確認してください。
  5. 5 行目の数字を、1 を引いた数字に変更します。
  6. 次の行を検索します。
            Dec2CAB.dll
  7. Dec2CAB.dll の行と、その直後の行を削除します。
  8. Dec3.cfg ファイルを保存して閉じます。
  9. Symantec Endpoint Protection サービスを再起動します。

必要に応じて、管理者は、サードパーティの配備ツールを使って修正を配備することができます。手動で修復したコンピュータから Dec3.cfg ファイルをコピーして別のエンドポイントに配備し、修復をスクリプト化する方法があります。ただし、古いバージョンの Dec3.cfg ファイルでは少々動作が異なります。
注意: スクリプト化した Dec3.cfg ファイルとの互換性を保つために、SEP 11.0 RTM から SEP 11.0 MR4 MP2 までが実行されているクライアントでは、SEP 11.0 RTM から SEP 11.0 MR4 MP2 までのクライアントからスクリプト化した Dec3.cfg ファイルをお使いください。SEP 11.0 RU5 およびそれ以降が実行されているクライアントでは、SEP 11.0 RU5 およびそれ以降のクライアントからスクリプト化した Dec3.cfg ファイルをお使いください。

方法 3: 圧縮ファイルのスキャンの無効化
別の緩和策として、手動または電子メールツールのスキャンから圧縮ファイルのスキャンを無効にすることができます。これにより、.cab ファイルだけでなく、すべての圧縮ファイルのスキャンが無効になります。手順については、次のナレッジベース記事を参照してください。
http://www.symantec.com/business/support/index?page=content&id=TECH199543&locale=ja_JP

ただし、圧縮ファイルは解凍されたときに、Auto-Protect または手動スキャンによりスキャンされます。圧縮ファイルのスキャンを無効にする設定は、すべての管理者スキャン、アクティブスキャン、Exchange や Lotus Notes の電子メールクライアントツールで変更する必要があります。

注意: .cab ファイルのスキャンが有効である限り、システムは脆弱な状態のままです。この緩和策により、SEP の Auto-Protect エンジンでリアルタイム保護を維持しながら、簡単にリスクを低減することができます。この設定を適用することで、.cab ファイル Decomposer (圧縮解凍エンジン) は、ユーザーが .cab ファイルを右クリックしてスキャンするか、ユーザーがコンピュータ上で作成したスキャン設定が「圧縮ファイルのスキャンを無効にする」対策を実施していない場合にのみ実行されるようになります。

注意: 圧縮ファイルは解凍されたときに、Auto-Protect 、手動スキャン、または定時スキャンによりスキャンされます。この設定を使っている間にユーザーが (.cab や .zip などの) 圧縮ファイルをシステムにダウンロードした場合、圧縮ファイルは次回の定時管理者スキャンではスキャンされません。ただし、ユーザーがファイルを使うために解凍しようとすると、感染ファイルが起動する前に AutoProtect によってファイルがスキャンされ、検出されます。

ベストプラクティス

シマンテックのゲートウェイ製品およびグループウェア製品は、デフォルトでこのような不正な形式の圧縮ファイルを検出します。シマンテックのゲートウェイ/グループウェア製品に用意されている管理ポリシーでは、このような不正な形式のファイルがネットワーク内に侵入する前に遮断または除去したり、検疫して管理者が確認および対応したりできるよう制御することができます。シマンテックでは、害を与える可能性のあるコンテンツを制限するために、電子メールセキュリティポリシーの一貫としてこのようなポリシー制御を導入することをお勧めいたします。
  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションにベンダーが提供する最新の修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそのような攻撃が成功した場合に発生する不正行為の検出が可能になります。

クレジット

この問題をご報告いただいた CERT/CC の Will Dormann 氏に感謝いたします。

参考情報

US-CERT Vulnerability Note VU#985625 (英語)

BID: Security Focus (http://www.securityfocus.com) は、SecurityFocus 脆弱性データベースに登録するために、この問題に次の Bugtraq ID (BID) を割り当てました。

CVE: この問題は、さまざまなセキュリティ問題の名称が標準化されている CVE (Common Vulnerabilities and Exposures) リスト (http://cve.mitre.org) への登録候補となっています。

CVE BID 解説
CVE-2012-4953 BID 56399 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2012/11/07
スパムレポート