1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細

セキュリティ アドバイザリー - Symantec Altiris Deployment Solution、Notification Server、Management Console の FileDownload ActiveX コントロールに複数の脆弱性

SYM09-013

2009/09/22

改訂履歴

なし

危険性



リモートアクセスできる
ローカルアクセスできない
認証の必要性なし
公開されているエクスプロイトあり

概要

シマンテックの Altiris Deployment Solution と Notification Server によってインストールされる AxtiveX コントロールに脆弱性が存在します。これらの脆弱性を悪用すると、不正な情報開示やシステム情報の破損が引き起こされたり、またはユーザーが使用するブラウザ上で任意のコードの実行が可能になることがあります。この脆弱性を悪用するには、ユーザーの操作が必要となります。

影響を受ける製品

製品名バージョンビルド解決策
Altiris Deployment Solution6.9.xすべてサポート技術情報(ナレッジベース)の Hotfix を適用
Altiris Notification Server6.0.xすべてサポート技術情報(ナレッジベース)の Hotfix を適用
Symantec Management Platform7.0.xすべてサポート技術情報(ナレッジベース)の Hotfix を適用

解説

シマンテックは、Altiris Deployment Solution の ActiveX コントロール(AeXNSPkgDLLib.dll)に脆弱性が存在するという報告を受けました。この ActiveX コントロールは、Altiris Notification Server / Symantec Management Platform にも含まれます。この ActiveX コントロールが外部から呼び出されることは意図されていませんでしたが、この ActiveX コントロールは、ホストシステム上で任意のコードのダウンロードや実行を許可する可能性がある危険なメソッドを使用します。この脆弱性の存在する ActiveX コントロールへの不正アクセスにより、ユーザーのブラウザ内で任意のコードが実行される可能性があります。そのため、この ActiveX コントロールが含まれるアプリケーションは、ネットワークの外部からアクセスできないようにインストールすることを推奨します。攻撃者がこの脆弱性を悪用するには、この脆弱性の存在する ActiveX コントロールを呼び出すことができる HTML 形式の電子メールを介して、または、ネットワークの内部または外部の悪質な Web サイトに誘導することによって、ホストユーザーがコードをダウンロードして実行するように仕向ける必要があります。

弊社の対応

シマンテックでは、これらの問題を検証し、本件を解決するための修正プログラムをリリースしました。シマンテックは、本件に起因した被害報告は受けておりません。

Altiris 製品サポート技術情報(ナレッジベース)の Article ID: 49069 (https://kb.altiris.com/kb/article/viewArticle.asp?aid=49069) で提供されている Hotfix と指示に従ってください。

Notification Server / Symantec Management Platform でビルドされた製品へのこの修正の影響に関する情報については、関連するサポート技術情報(ナレッジベース)の記事を参照してください。

緩和策

シマンテックセキュリティレスポンスでは、本件を悪用しようとする試みを検出および防止するための次の IPS/IDS シグネチャをリリースしました。

23473 - HTTP Altiris Express File Overwrite
50235 - MSIE Altiris Express File Overwrite

シグネチャは、通常の更新サイトから入手できます。

回避策

レジストリを変更して AeXNSPkgDLLib.dll ActiveX コントロール (CLSID {63716E93-033D-48B0-8A2F-8E8473FD7AC7}) に Kill Bit を設定し、Microsoft Internet Explorer でインスタンス化が試行されるのを無効にします。手動でこの ActiveX コントロールに Kill Bit を設定するには、マイクロソフトサポート技術情報 (240797) で説明されている手順に従ってください。

重要: レジストリを変更する前にバックアップを作成しておくことを強く推奨します。レジストリを誤って変更すると、データを完全に消失したり、ファイルが破損されることもあります。指定されたキーだけを変更してください。バックアップの作成については、「Backing up the Windows registry」 を参照してください。

ベストプラクティス

通常のベストプラクティスの一環として、以下のことを強く推奨します。

  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションをベンダーが提供する最新の修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそうした攻撃が成功した場合に発生する不正行為の検出が可能になります。

参考情報

Security Focus (http://www.securityfocus.com) は、SecurityFocus 脆弱性データベースに登録するために、この問題に Bugtraq ID (BID) 36346 を割り当てました。

本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。本件には、CVE-2009-0328 という識別番号が付けられました。
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2009/09/22
スパムレポート