CERT^® Advisory CA-2002-01
CDEのサブプロセスコントロールサービスに付け込み可能な脆弱性が存在する

Original release date: January 14, 2002

Last revised: --

Source: CERT/CC

本和訳の原文は http://www.cert.org/advisories/CA-2002-01.htmlである。

本文書並びに本和訳の完全な改訂履歴は文書末尾にある。

影響を受けるシステム

CERT/CCはCA-2001-31 ( その和訳 )で示され、VU#172583で議論されている CDEのサブプロセスコントロールサービスに存在するバッファオーバフローの脆弱性 を残していないかSolarisシステムを探索し、付け込もうとする行為があるとの確か な報告を受け取っている。

CA-2001-31 が、昨年11月に発行されて以来、CERT/CCは dtspcd (6112/tcp)を探すスキャニングが 行なわれているとの報告を受け取ってきた。しかし、つい最近になって Solarisシステムで実際に付け込まれたとの間違いない報告を受け取った。 The Honeynet Project が提供してくれたネットワーク記録から、我々はCA-2001-31 ( その和訳 )で示され、VU#172583で議論されている dtspcdに存在する脆弱性に活発に付け込む 行為がなされていると確信することとなった。

共通デスクトップ環境 (CDE)はUNIX OSやLinux OS上で動作する統合GUIである。 CDEサブプロセスコントロールサービス (dtspcd) はネットワークデーモンで、クライアントからのリクエストを受け付け、 コマンドを実行し、リモートでアプリケーションを起動する。CDEを動作させて いるシステム上では、dtspcdはCDEクライアントの リクエストに応答する形でインターネットサービスデーモン(典型的には、 inetd や xinetd) によって複数起動される。 dtspcdは典型的にはポート番号6112/tcpを 使いroot権限で動作するよう設定されている。

このdtspcdが利用する共有ライブラリの一つにリモート から付け入ることのできるバッファオーバフローの脆弱性が存在する。クライアント とのネゴシエーションを行なっている際、dtspcdは 適切な入力チェックを行なわないまま、クライアントからのデータ長の値と後続するデータ を受け付けてしまう。この結果、悪意あるクライアントは dtspcdに人為的に加工したデータを送ることで、 バッファオーバフローを 引き起こし、可能性としてはroot権限でコードを実行できることになる。 このオーバフローは、攻撃パケットの一つの内容によって付け込まれた 固定長4KBのバッファ中で起きる。tcpdumpのログファイルで次のような 攻撃パケットがあれば、0x3e-0x41の箇所にシグニチャがあるのが分かる (1行が見た目上折り返されているかもしれない)。

上記のASCII表示段(右列)中の0x103eという値は、内部の4K (0x1000)バッファ にコピーすべきパケットのバイト数であるとサーバが解釈する。 0x103eは0x1000よりも大きいため、このパケットの最後の0x3eバイト分が 4Kバッファの後ろのメモリを上書きすることになる。これはVU#172583で 指摘されたのと同じ攻略媒体(compromise vector)である。

ただし、インターネット上のゲームで、同じポート番号6112/tcpを その通常動作の合法的な一部として利用するものがいくつもあること を注記しておく必要がある。つまり、このサービスに関わるすべての ネットワーク活動が悪意あるものとは限らないのである。 この種の活動を監視しているネットワーク管理者は、この種の探索が 本当にVU#172583 で示される脆弱性に付け入ろうとする試みなのかどうかを検証したい と考えるかもしれない。

多くの一般的なUNIXシステムはデフォルトではCDEがインストールされ有効に なるようになっている。自システムがdtspcd を使うよう設定されているかどうかを判断するには、次の各ファイルにdtspc の記載があるかどうかを確認せよ。(1行が 見た目上複数行に見えるかもしれない)。

/etc/servicesにおいては

dtspc 6112/tcp

/etc/inetd.confにおいては

dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd

CDEのサブプロセスコントロールサービスを動作させていないシステム はこの問題に対して脆弱ではない。

VU#172583に今回の 勧告に対して情報を提供してくれたベンダからの情報が掲載されている。 ベンダがCERT/CCに対して新たな情報を報告して きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。 特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない ことを意味している。直接、ベンダに連絡を取られたし。

ベンダ情報はVU#172583の"影響を受けるシステム(Systems Affected)"セクションに掲載されている。

脆弱なサービスへのアクセスを制限せよ

修正パッチが入手可能になり、適用できるまでは、インターネットのような 信頼関係の確立していないネットワークからのサブプロセスコントロールサービス へのアクセスを限定ないし遮断した方がよいかもしれない。その場合、ファイアウォールまたは その他のパケットフィルタリングにより、サブプロセスコントロールサービスが 使用しているポートへのアクセスを遮断ないし限定するとよい。上記で述べたように、 dtspcdは典型的にはポート番号6112/tcpを待ち受ける よう設定されている。 TCP Wrapper等を使って、dtspcd接続について さらに細かくアクセス制御を行なったり、ログ記録を取ったりすることもできる。 ただし、ネットワーク境界でポートを遮断しても、脆弱なサービスが 内部ネットワークからの攻撃に対して防護されるわけではない点は念頭に置いて おきたい。また、どのような変更が適切化を判断するには自ネットワークの設定や サービス要求を理解しておくことが重要である。

ftp://ftp.porcupine.org/pub/security/index.html

脆弱なサービスを無効にせよ

/etc/inetd.confでコメントアウトすることで dtspcdを無効にするのもよいだろう。もっともよい 習慣としては、明示的に必要とされていないサービスはすべて無効にすることを CERT/CCは推奨する。また、上記の述べたように、自環境で自分の行なった変更が どのような結果を招くかを考慮するのは重要である。

1. http://www.kb.cert.org/vuls/id/172583
   
2. http://www.cert.org/advisories/CA-2001-31.html
3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0803
   
4. http://xforce.iss.net/alerts/advise101.php
   
5. http://www.opengroup.org/cde/
   
6. http://www.opengroup.org/desktop/faq/
   

CERT Coordination Centerはこの付け込みを示すネットワーク記録を提供 してくれたことでThe Honeynet Projectに感謝する。

著者: Allen Householder & Art Manion

本文書の原文は以下で入手できる。
http://www.cert.org/advisories/CA-2002-01.html

CERT/CCへの連絡は

電子メール: cert@cert.org
電話: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
郵便送付先:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

暗号を利用する

セキュリティ上微妙な情報を電子メールで我々に送る場合は暗号化することを 強く推奨する。我々の公開PGP鍵は以下で入手できる。

http://www.cert.org/CERT_PGP.key

セキュリティ情報を得る

http://www.cert.org/

subscribe cert-advisory

* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。

Copyright 2001 Carnegie Mellon University.

Revision History

January 14, 2002:  Initial release

本和訳の改訂履歴
2002年1月15日午前3時55分 (JST) 初版公開