1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細

セキュリティ アドバイザリー - Symantec Security Expressions Audit and Compliance Server にクロスサイトスクリプティングと HTML インジェクションの脆弱性

SYM09-014

2009/10/06

改訂履歴

なし

危険性



リモートアクセスできる (内部ネットワーク)
ローカルアクセスできない
認証の必要性なし
公開されているエクスプロイトなし

概要

Symantec SecurityExpressions Audit and Compliance Server にクロスサイトスクリプティングと HTML インジェクションの脆弱性が存在します。

影響を受ける製品

製品名バージョン解決策

SecurityExpressions Audit and

Compliance Server

4.1

4.1.1

4.1.1 Hotfix 1(サポート技術情報(ナレッジベース)の Article ID: 49452) を適用

注意: Symantec SecurityExpressions Audit and Compliance Server 4.1 以前のバージョンを使用しているユーザーは、最新バージョンにアップグレードし、すべての更新を適用してください。

解説

シマンテックは、SecurityExpressions Audit and Compliance Server にクロスサイトスクリプティングの問題が存在するという報告を受けました。コンソールへのアクセスが許可されたユーザーによる外部クライアントからの入力の認証とフィルタが、コンソールで正しく処理されません。疑いを持たないユーザーを対象にした悪質なスクリプトを生成するために、エラーメッセージが不正に操作される可能性があります。

また、一部の応答エラーメッセージが正しくエンコードされていないため、ユーザーへの応答に悪意のある HTML コンテンツが挿入されることがあります。これらの問題により、不正な情報開示、内部ネットワーク上の他のシステムや他のユーザーセッションへの不正アクセスが行われる可能性があります。

弊社の対応

シマンテックは、影響を受ける製品バージョンについて、これらの問題に対応した Hotfix をリリースしました。シマンテックは、すべてのお客様が最新の利用可能な更新を適用し、このような性質の脅威から製品を保護することを強く推奨します。

シマンテックは、本件に起因した被害報告は受けておりません。

影響を受ける製品をご使用のお客様は、これらの問題を悪用しようとする試みを防止するため、Altiris 製品サポート技術情報(ナレッジベース)の Article ID: 49452 をお読みになり、Hotfix 1 を適用されることを推奨します。影響を受ける製品に関する Altiris 製品サポート技術情報(ナレッジベース)の Article ID: 49452 と Hotfix 1 は、こちらからご利用いただけます。

緩和策

現時点で、お客様が Symantec SecurityExpressions Audit and Compliance Server の最新版にアップグレードできない、または Hotfix 1 を適用できない場合は、アップグレードするまでの間、コンソールへのアクセス権を特権ユーザーのみに制限することを推奨します。

ベストプラクティス

通常のベストプラクティスの一環として、以下のことを強く推奨します。
  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • リモートアクセスを無効にするか、信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションをベンダーが提供する最新の修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそうした攻撃が成功した場合に発生する不正行為の検出が可能になります。

クレジット

この問題の報告と問題解決にあたり多大なご協力をいただいた Wipfli LLP 社の Nate Roberts 氏に感謝いたします。

参考情報

BID: Security Focus (http://www.securityfocus.com) は、SecurityFocus 脆弱性データベースに登録するために、これらの問題に次の Bugtraq ID (BID) を割り当てました。
クロスサイトスクリプティングの問題に対して BID 36570 を、HTML インジェクションの問題に対して BID 36571 を割り当てました。

CVE: これらの問題は、様々なセキュリティ問題の名称が標準化されている CVE (Common Vulnerabilities and Exposures) リスト (http://cve.mitre.org) への登録候補となっています。CVE 推進グループは、クロスサイトスクリプティングの問題に対して CVE-2009-3029、HTML インジェクションの問題に対して CVE-2009-3030 という識別番号を割り当てました。
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2009/10/06
スパムレポート