1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細

セキュリティ アドバイザリー - Symantec LiveUpdate Administrator における、アカウントのアクセス権の不正な改ざんと不正な SQL インジェクションの問題

SYM14-005

2014/03/27

改訂履歴

なし

危険性

CVSS2 基本値 影響度 攻撃容易性 CVSS2 基本区分
LUA におけるアカウントのアクセス権の不正な改ざん 7.9 - 高
7.9 10 5.5 AV:A/AC:M/Au:N/C:C/I:C/A:C)
LUA における不正な SQL インジェクション 6.9 - 中
6.3 8.5 5.5 AV:A/AC:M/Au:N/C:P/I:P/A:C)

概要

Symantec LiveUpdate Administrator の管理 GUI で、Web インターフェースにおけるパスワード忘れ対応機能が適切に保護されていません。LUA の正当なユーザーの電子メールアドレスを知っている個人が、パスワードを任意のものにリセットするよう不正に強制して、不正アクセスにつながる可能性があります。

Symantec LiveUpdate Administrator の管理 GUI が、バックエンドデータベースに対するクエリーへの入力を十分にサニタイズ (無害化) しないことにより、データベースに保存されたデータへの不正アクセスにつながる可能性があります。

影響を受ける製品

製品名 バージョン ビルド 解決策
Symantec LiveUpdate Administrator 2.x 2.3.2 以前 LUA 2.3.2.110 にアップグレードする

影響を受けない製品

製品名 バージョン ビルド
Symantec LiveUpdate Administrator 1.x すべて

解説

Symantec LiveUpdate Administrator の管理 Web インターフェースにおいて、ログインおよびパスワード機能への適切な保護が提供されていません。権限のある悪質なネットワークユーザーや、権限のない悪質な個人でネットワーク環境にアクセスできる者が、LUA の正当なユーザーのパスワードを強制的にリセットする可能性があります。攻撃者がパスワードの任意リセットの強制を実行するには、LUA の正当なユーザーの電子メールアドレスが必要です。攻撃に成功した場合、管理者の Web インターフェースへの完全なアクセスを取得する可能性があります。

Symantec LiveUpdate Administrator の管理 Web インターフェースがデータベースに対するクエリーへの入力を十分にサニタイズ (無害化) しないことにより、データベースに保存されたデータへの不正アクセスにつながる可能性があります。悪用が成功すると、ネットワーク上の他の LiveUpdate Administrator サーバーへのアクセスを可能にするために十分な情報を開示したり、クライアントシステムへダウンロードするファイルとして無関係なファイルを提供する事により、ネットワーククライアントのネットワークや CPUに対して、サービス拒否攻撃を実行することが可能となります。

通常、Symantec LiveUpdate Administrator の管理 Web インターフェースはネットワークの外部からアクセスできないようにインストールすることを推奨します。これによって外部攻撃による危険性はある程度軽減できますが、内部攻撃についてはできません。外部の攻撃者がこの種の攻撃を実行するには、ネットワークにアクセスする必要があります。そのため多くの場合、Web リンクや電子メールを使って権限のあるネットワークユーザーを悪質なリンクにアクセスするように誘導して、ネットワーク上のクライアントシステムにまず侵入しようとします。

弊社の対応

シマンテックは、これらの問題を検証し、脆弱性を解決するための更新版をリリースしました。Symantec LiveUpdate Administrator 2.3.2 に対して利用可能な更新版を適用してください。シマンテックは、本件に起因した被害報告は受けておりません。

更新情報

Symantec LiveUpdate Administrator の更新版 2.3.2.110 は現在入手可能で、詳細は次のサポート技術情報記事に記載されています。
TECH 134809http://www.symantec.com/business/support/index?page=content&id=TECH134809

ベストプラクティス

通常のベストプラクティスの一環として、以下のことを強く推奨します。
  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションにベンダーが提供する最新の修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそのような攻撃が成功した場合に発生する不正行為の検出が可能になります。

クレジット

この問題の報告および問題の解決 (発見、分析、調整) にあたり、多大なご協力をいただいた SEC Consult Vulnerability Lab (https://www.sec-consult.com) の Stefan Viehböck 氏に感謝いたします。

参考情報

BID: Security Focus (http://www.securityfocus.com) は、SecurityFocus 脆弱性データベースに登録するために、この問題に Bugtraq ID (BID) を割り当てました。

CVE: この問題は、さまざまなセキュリティ問題の名称が標準化されている CVE (Common Vulnerabilities and Exposures) リスト (http://cve.mitre.org) への登録候補となっています。

CVE BID 解説
CVE-2014-1644 BID 66399 LUA におけるアカウントのアクセス権の不正な改ざん
CVE-2014-1645 BID 66400 LUA における不正な SQL インジェクション
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2014/03/27
スパムレポート