1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細

セキュリティ アドバイザリー - Symantec Endpoint Protection ローカルクライアントのアプリケーションとデバイス制御 (ADC) におけるバッファオーバーフローの問題

SYM14-013

2014/08/04

改訂履歴

なし

危険性

CVSS2 基本値 影響度 攻撃容易性 CVSS2 基本区分
SEP ローカルクライアントの ADC におけるバッファオーバーフロー - 中
6.9 10.0 3.4 AV:L/AC:M/AU:N/C:C/I:C/A:C

概要

シマンテックは、先日公表された、Symantec Endpoint Protection (SEP) クライアントにおけるローカルアクセスバッファオーバーフローの悪用により、クライアントでブルースクリーンが発生するか、不正なローカル特権昇格が実行される可能性があるという報告を受けました。

影響を受ける製品

製品名 バージョン ビルド 解決策
Symantec Endpoint Protection クライアント 12.1 すべて 12.1 RU4 MP1b に更新する。
更新をインストールするまでは、推奨する緩和策に従ってください。
Symantec Endpoint Protection クライアント 11.0 すべて 12.1 RU4 MP1b に更新する。
更新をインストールするまでは、推奨する緩和策に従ってください。
Symantec Endpoint Protection 12.0
Small Business Edition
12.0 すべて 最新のビルドである SEP 12.1 Small Business Edition に更新する。

影響を受けない製品

製品名 バージョン
Symantec Endpoint Protection Manager すべて
Symantec Endpoint Protection 12.1 Small Business Edition すべて
Symantec Endpoint Protection.cloud (SEP SBE) すべて
Symantec Network Access Control (SNAC) すべて

解説

SEP クライアントのアプリケーションとデバイス制御 (ADC) コンポーネントの一部としてロードされる sysplant ドライバで外部入力が適切に検証されないため、ローカルクライアントでブルースクリーンが発生してサービスが拒否されるか、悪用された場合にクライアントシステムでローカルの特権昇格が実行される可能性があります。

弊社の対応

シマンテックは、この問題を検証し、脆弱性を解決するための更新版を作成しました。この問題に対応した利用可能な更新をインストールするまでは、次の緩和策を実施する必要があります。シマンテックは、本件に起因した被害報告は受けておりません。

更新情報

Symantec Endpoint Protection 12.1 RU4 MP1b の利用可能な言語とビルドについて詳しくは、TECH223338 を参照してください。

緩和策

この更新をすぐに適用できない場合、SEP 管理者は、技術情報 TECH223338 に記載されている手順に従って、SEP 12.1 または SEP 11.0 の ADC をアンインストールするか、無効にしてください。

シマンテックセキュリティレスポンスは、この問題に対して Bloodhound.Exploit.554 をリリースしました。この検出定義は、通常のセキュリティ更新を通じて入手できます。

ベストプラクティス

通常のベストプラクティスの一環として、以下の事項を強く推奨します。
  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、悪用された場合の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションにベンダーが提供する修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそのような攻撃が成功した場合に発生する不正行為の検出が可能になります。

クレジット

この問題について Offensive Security からの報告を伝えていただき、ご協力いただいた CERT/CC に感謝いたします。また、問題の解決にご協力をいただいた Offensive Security の Matteo Memelli 氏に感謝いたします。

参考情報

BID: Security Focus (http://www.securityfocus.com) は、SecurityFocus 脆弱性データベースに登録するために、この問題に Bugtraq ID (BID) を割り当てました。

CVE: この問題は、さまざまなセキュリティ問題の名称が標準化されている CVE (Common Vulnerabilities and Exposures) リスト (http://cve.mitre.org) への登録候補となっています。

CVE BID 解説
CVE-2014-3434 BID 68946 SEP ローカルクライアントの ADC におけるバッファオーバーフロー
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2014/08/04
スパムレポート