1. Symantec/
  2. セキュリティレスポンス/
  3. Security Updates 詳細

セキュリティ アドバイザリー - Autonomy Verity Keyview Filter に複数の問題点

SYM11-013

2011/10/06

改訂履歴

なし

危険性

中から高(下記の CVSS2 スコアによる )


CVSS V2 9.33(SMSME および SMSDOM に関しては、アプリケーションレベルの権限を使用してプロセス内またはプロセス外で Autonomy Verity Keyview Filter を実行)

影響度:10 攻撃容易性: 8.588
CVSS V2 区分 AV:N/AC:M/Au:N/C:C/I:C/A:C


CVSS V2 4.3(SBG/SMG および DLP に関しては、最小の権限を使用してプロセス外で Autonomy Verity Keyview Filter を実行)

影響度:2.862 攻撃容易性: 8.588
CVSS V2 Vector AV:N/AC:M/Au:N/C:N/I:N/A:P

概要

Autonomy の Verity Keyview Content Filter ライブラリにいくつかのセキュリティの脆弱性があることが複数のソースで確認されました。シマンテックでは、シマンテック製品に搭載されている Keyview モジュールを更新し、これらの問題に対応しています。

影響を受ける製品

製品名 バージョン ビルド 解決策
Symantec Mail Security for Microsoft Exchange(SMSMSE) 6.x すべて SMSMSE 6.5.6 または SMSMSE 6.0.13 に更新(回避策としてコンテンツフィルタリングを無効にするには、下記の「回避策/緩和策」を参照してください。)
Symantec Mail Security for Domino(SMSDOM) 8.x すべて SMSDOM 8.0.9 に更新(回避策としてコンテンツフィルタリングを無効にするには、下記の「回避策/緩和策」を参照してください。
Symantec Mail Security for Domino 7.5.x すべて SMSDOM 7.5.12 に更新(回避策としてコンテンツフィルタリングを無効にするには、下記の「回避策/緩和策」を参照してください。)
Symantec Brightmail Gateway および Symantec Messaging Gateway(SBG/SMG) 9.5 以前 すべて Symantec Messaging Gateway 9.5.1 に更新
Symantec Data Loss Prevention (DLP) Enforce/Detection Server for Windows 10.x 以前 すべて Symantec Data Loss Prevention 11.1.1 for Windows に更新
Symantec Data Loss Prevention Enforce/Detection Server for Linux 10.x 以前 すべて Symantec Data Loss Prevention 11.1.1 for Linux に更新
Symantec Data Loss Prevention Endpoint Agent 10.x 以前 すべて Symantec Data Loss Prevention 11.1.1 Agent に更新
Symantec Data Loss Prevention Enforce/Detection Server for Windows 11.x すべて Symantec Data Loss Prevention 11.1.1 for Windows に更新
Symantec Data Loss Prevention Enforce/Detection Server for Linux 11.x すべて Symantec Data Loss Prevention 11.1.1 for Linux に更新
Symantec Data Loss Prevention Endpoint Agent 11.x すべて Symantec Data Loss Prevention 11.1.1 Agent に更新

注意
下記の回避策セクションで説明されているコンテンツフィルタリングを無効にする回避策は、ウイルス対策やスパム対策などのシマンテック製品の基本的な機能の妨げになることはありません。

解説

シマンテックは、上記で特定したシマンテック製品に搭載された Autonomy Verity Keyview Filter のファイル解析ライブラリのいくつかに、サービス拒否によるプロセスクラッシュの可能性やコード実行の脆弱性などの複数のセキュリティ問題があるという報告を受けました。悪質な細工をされた受信ファイルに対してコンテンツフィルタリング処理を実行している間に、これらの脆弱性が標的になる可能性があります。

脆弱性が悪用された場合の影響は、処理を実行する製品によって異なり、まったく影響を受けない製品もあれば、子プロセスがクラッシュしてわずかな影響を受けることもあります。アプリケーションクラッシュや特定のインスタンスでは、昇格された特権によって標的となるアプリケーションが侵害される可能性があります。

弊社の対応

シマンテックのエンジニアは Autonomy と連携し、すべての問題に対応するための更新プログラムを入手し提供しています。

Symantec Mail Security for Microsoft Exchange では、アプリケーションプロセスの一部として Verity Filter を実行します。この脆弱性の悪用に成功すると、アプリケーションでサービス拒否の状態が引き起こされたり、アプリケーションのコンテキストで権限の侵害が発生する可能性があります。

Symantec Mail Security for Domino では、Verity Filter をデフォルトでプロセス外で実行するため、攻撃の試みによってアプリケーションがクラッシュすることはありません。ただし、攻撃者がこの脆弱性の悪用に成功すると、アプリケーションのコンテキストでプロセスが実行され、特権を与えられたアプリケーションが侵害される可能性があります。

Symantec Mail Security for Microsoft Exchange または Symantec Mail Security for Domino を実行しているお客様は、上記の脆弱性のないバージョンに更新するか、更新を導入できるまでは下記の「回避策/緩和策」の説明に従い、コンテンツフィルタリングを無効にしてください。

Symantec BrightMail/Messaging Gateway、Symantec Data Loss Prevention 製品では、Autonomy Verity KeyView のコンテンツフィルタリングプロセスがシマンテック製品のアプリケーションとは切り離されている(プロセス外で実行されている)ため、最小限の権限で実行されます。プロセス外実行は特にこのようなセキュリティ問題に対応します。

これらの問題点が悪用された場合、違反スレッドをもつプロセスは終了され、エラーメッセージがアプリケーションに通知されます。しかし、すでに脆弱性のないバージョンの Verity Filter に更新され、お客様に提供されています。更新を導入するまでは、下記の一時的な「回避策/緩和策」の説明に従い、コンテンツフィルタリングを無効にすることもできます。

シマンテックは、この問題の悪用またはこの問題によるお客様の被害について報告を受けておりません。

更新情報

更新プログラムは、通常使用されているサポートサイトまたはダウンロードサイトから入手できます。

有効なメンテナンス契約をお持ちのお客様は、FileConnect にログインして、製品のダウンロードサイトから入手できます。

Symantec Data Loss Prevention の更新プログラムは、Secure File Exchange でも入手できます。

回避策/緩和策

Symantec Mail Security for Microsoft Exchange でコンテンツフィルタリングを無効にする一時的な回避策
Symantec Mail Security for Microsoft Exchange をインストールしても製品のコンテンツフィルタリング機能を使用しなければ脆弱性の問題は発生しません。添付コンテンツのスキャンオプションが有効な場合にのみ、Symantec Mail Security for Microsoft Exchange はこの脆弱性の影響を受けます。

一時的な回避策として、添付コンテンツのスキャンを指定するパラメータを含むコンテンツフィルタリングルールを管理者が完全に無効にすることができます。ルールを更新プログラムがインストールされるまで無効にしておくことで、ルールを削除する不要はなくなります。
Symantec Mail Security for Microsoft Exchange のコンテンツフィルタリングルールを無効にするには、以下の手順を実行します。
  • [Policies(ポリシー)] タブ、[Content Filtering Rule(コンテンツフィルタルール)] の順に選択して、現在有効なルールの一覧を表示します。
  • 添付コンテンツを使用するすべてのルールが [Disabled(無効)] に設定されていることを確認します。
または、コンテンツフィルタリングを完全に無効にする代わりに、更新ファイルがインストールされるまでの間、影響を受けるリーダーのみを管理者がリネームすることができます。
  • 製品インストールフォルダ内の Verity\bin フォルダを開きます。(例: [SMSMSE]、[6.5]、[Server]、[Verity]、[bin]の順に選択)
  • 影響を受けるバイナリを探します。(例: lzhsr.dll)
  • そのバイナリを、たとえば lzhsr_disabled.dll.のようにリネームします。
  • 影響を受けるリーダーによってこれまで読み込まれていた添付ファイルへのコンテンツフィルタリングが実行されなくなります。

Symantec Mail Security for Domino でコンテンツフィルタリングを無効にする一時的な回避策
Symantec Mail Security for Domino をインストールしても製品のコンテンツフィルタリング機能を使用しなければ脆弱性の問題は発生しません。添付コンテンツのスキャンオプションが有効な場合にのみ、この脆弱性の問題が発生します。

一時的な回避策として、添付コンテンツのスキャンを指定するパラメータを含むコンテンツフィルタリングルールを管理者が完全に無効にする場合があります。ルールを削除する必要はありません。更新プログラムがインストールされるまで無効にしておきます。

Symantec Mail Security for Domino のコンテンツフィルタリングルールを無効にするには、以下の手順を実行します。
  • [Content Filtering (コンテンツフィルタ)]-[Rule(ルール )] タブを選択し、現在有効なルールの一覧を表示します。
  • 添付コンテンツのフィルタリング機能を使用しているルールの左側にあるチェックボックスをクリックすると、赤色の「X」が表示され、ルールが無効になります。

または、コンテンツフィルタリングを完全に無効にする代わりに、更新ファイルがインストールされるまでの間、影響を受けるリーダーのみを管理者がリネームすることもあります。
  • 製品インストールフォルダ内の Server\Verity\bin フォルダを開きます。(例: [SMSDOM]、[Server]、[Verity]、[bin] の順に選択)
  • 影響を受けるバイナリを探します。(例: lzhsr.dll)
  • そのバイナリを、たとえば lzhsr_disabled.dll. のようにリネームします。
  • 影響を受けるリーダーによってこれまで読み込まれていた添付ファイルへのコンテンツフィルタリングが実行されなくなります。

Symantec Brightmail Gateway または Symantec Messaging Gateway でコンテンツフィルタリングを無効にする一時的な回避策
この脆弱性のリスクは、添付コンテンツのスキャンオプションが有効な Symantec Brightmail Gateway または Symantec Messaging Gateway のインストールに限定されます。ただし、インストールしてもコンテンツフィルタリング機能を使用しなければこの脆弱性の問題は発生しません

一時的な回避策として、推奨されるソリューションにアップグレードすることができない場合、添付コンテンツのスキャンを指定するパラメータが含まれるコンテンツフィルタリングルールを無効に設定することをお勧めします。ルールを削除する必要はありません。更新プログラムがインストールされるまで無効にしておきます。

Symantec Brightmail Gateway または Symantec Messaging Gateway のコンテンツフィルタリングルールを無効にするには、以下の手順を実行します。

  • Management Console にログインして、[SMTP Scanning Settings(SMTP/スキャンの設定)] 画面に移動します。
  • [Enable searching of non-plain text attachments for words in dictionaries(テキストファイルではない添付ファイルで辞書の語句のスキャンを有効にする)] オプションのチェックマークを外して無効にし、保存します。
  • 次のいずれかの条件に基づくコンプライアンスポリシーを無効にします。
      - メッセージの一部が正規表現、パターン、レコードリソースに一致する(または一致しない)場合
      - 添付ファイルのコンテンツのテキストがメッセージの一部である場合

ベストプラクティス

通常のベストプラクティスの一環として、以下の事項を強く推奨します。

  • 管理システムまたは統御システムへのアクセスを、特権ユーザーに限定します。
  • 必要に応じて、リモートアクセスを信頼できるシステムや認証されたシステムのみに制限します。
  • 可能な限り最小の権限を付与する原則の下で操作を実行し、脅威による悪用の影響を制限します。
  • すべてのオペレーティングシステムとアプリケーションにベンダーが提供する最新の修正プログラムを適用することにより、常に最新の状態にしておきます。
  • 多重的なセキュリティ対策を講じます。少なくともファイアウォールおよびマルウェア対策アプリケーションを実行し、システムに侵入および流出する脅威を複数の場所で検出および防止します。
  • ネットワークおよびホストベースの侵入検知システムを導入し、ネットワークトラフィック上で異常な、または不審なアクティビティの兆候がないかどうかを監視します。これにより、潜在的な脆弱性の悪用を試みる攻撃の検知、およびそのような攻撃が成功した場合に発生する不正行為の検出が可能になります。

クレジット

Will Dormann 氏および Jared Allar 氏 (CERT/CC) が Autonomy Keyview モジュールの複数の問題点を確認しました。Autonomy Keyview モジュールの追加の問題点は、Secunia Research、iDefense Labs および CoreTechnologies を介した Binaryhouse.net によって確認されました。

参考情報

BID: SecurityFocus(http://www.securityfocus.com)は、SecurityFocus 脆弱性データベースに含めるため、この問題に Bugtraq ID (BID) を割り当てました。BID は次のように割り当てられました。
CVE: この問題は、さまざまなセキュリティ問題の名称が標準化されている CVE (Common Vulnerabilities and Exposures) リスト (http://cve.mitre.org) への登録候補となっています。CVE 推進グループは、本件に CVE ID を割り当てました。
割り当てられた CVE ID ファイルの種類 / KV コンポーネント クレジット BID
CVE-2011-1512 Excel Doc/xsslr CoreLabs Research BID 48017
CVE-2011-1213 Excel Doc/xsslr CoreLabs Research BID 48019
CVE-2011-1214 LZH Archive/lzhsr iDefense Labsを介した Binaryhouse.net BID 48020
CVE-2011-1215 RTF attach/rtfsr iDefense Labsを介したBinaryhouse.net BID 48021
CVE-2011-1216 Applix Spreadsheet/assr iDefense Labsを介した Binaryhouse.net BID 47962
CVE-2011-1218 Zip File Viewer/kvarcve iDefense Labsを介した Binaryhouse.net BID 48016
CVE-2011-0337 Ichitaro Speed Reader doc/ jtdsr Secunia Research BID 49898
CVE-2011-0338 Ichitaro Speed Reader doc/jtdsr Secunia Research BID 49899
CVE-2011-0339 Ichitaro Speed Reader doc/jtdsr Secunia Research BID 49900
複数のファイルの種類 CERT.org
シマンテックでは弊社製品のセキュリティと適切な機能を重要視しています。 Organization for Internet Safety (OISafety) の設立メンバーとして、シマンテックは責任ある開示方針を支持し、従っています。 また、シマンテックは NIAC(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会)によりまとめられた脆弱性公開ガイドラインに賛同しています。
シマンテック製品のセキュリティ上の問題を発見した場合は、secure@symantec.com までご連絡ください。 シマンテック製品セキュリティチームの担当者が、折り返しご連絡させていただきます。 secure@symantec.com に脆弱性情報を報告する際は、暗号化された電子メールを使用することを強くお勧めします。 シマンテック製品のセキュリティ PGP キーはこのメッセージの末尾にあります。
シマンテックでは弊社製品に存在する疑いがある脆弱性への対応プロセスについて概説した、シマンテック製品の脆弱性への対応ドキュメントを作成しました。 このドキュメントは次の場所から入手できます。

Copyright (c) Symantec Corporation.

本サイトの記載情報の電子媒体による頒布は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。本サイトに記載された情報の一部または全部を電子媒体以外の媒体へ複製または印刷する場合は、必ず事前にシマンテックの許可を得る必要があります。

免責事項

本サイトの記載情報は、公開時点で確認されていた情報を基に正確であると判断された内容で構成されています。本サイトの記載情報の使用は、現状のままとすることを条件に認められています。本サイトの記載内容について、シマンテックは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。 Symantec、Symantec Security Response、およびシマンテックの各製品名は、Symantec Corporation またはその関連会社の米国および各国における登録商標です。
その他の会社名、製品名は各社の商標または登録商標です。
最終修正日: 2011/10/06
スパムレポート
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube