CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-25

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-25
Gauntlet Firewallにバッファオーバフローが存在し、侵入者が任意のコードを実行できる

Original release date: September 06, 2001

Last revised: --

Source: CERT/CC

本文書の原文は http://www.cert.org/advisories/CA-2001-23.htmlである。

本文書の完全な更新履歴は末尾にある。

影響のあるシステム

  • Gauntlet Firewallを使用する以下の製品を動作させているシステム
    • Gauntlet for Unix versions 5.x
    • PGP e-ppliance 300 series version 1.0
    • McAfee e-ppliance 100 and 120 series
    • Gauntlet for Unix version 6.0
    • PGP e-ppliance 300 series versions 1.5, 2.0
    • PGP e-ppliance 1000 series versions 1.5, 2.0
    • McAfee WebShield for Solaris v4.1

Overview

PGP Securityの製品である Gauntlet Firewallにリモートから付けこむことが可能なバッファオーバフローを 起こす脆弱性が存在する。

I. 説明

smap/smapdデーモン並びにCSMAPデーモンにバッファオーバフローが 存在する。PGP Securityによれば、これらデーモンは受送信両面で 電子メール処理の取り扱いを行なうものである。

2001年9月4日にPGP Securityはセキュリティ短報を発行し、この脆弱性に対処する 修正パッチを公開した。詳しい情報は以下を参照せよ。

http://www.pgp.com/support/product-advisories/csmap.asp
http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp
http://www.kb.cert.org/vuls/id/206723

II. 影響

侵入者は、関係するデーモンに与えられた権限で任意のコードを実行できる ようになる。さらに、ファイアウォールは往々にして他のネットワーク機器 とも信頼関係を結んでいる。ファイアウォールを攻略した侵入者はこの信頼 関係を悪用してネットワーク上の他の機器を攻略したり、ネットワーク設定 を改変したりすることでもできるであろう。

III. 解決策

修正パッチを適用せよ

Appendix Aにこの勧告に関係してベンダから寄せられた情報をまとめて ある。この補遺は新たな情報を入手するごとに更新していく。自分の使っている 製品のベンダ名がなければ、それはCERT/CCがそのベンダから何も情報を受け取って いないということである。直接ベンダに連絡されたし。

Appendix A. - ベンダ情報

このAppendixでは、この勧告に対してベンダが提供してくれた 情報を掲載している。ベンダがCERT/CCに対して新たな情報を報告して きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。 特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない ことを意味している。

Network Associates, Inc.

PGP Securityはこの脆弱性を記述するセキュリティ勧告を発行すると同時に修正パッチ も公開している。これらについては次で入手できる。

http://www.pgp.com/support/product-advisories/csmap.asp
http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp

参照文献

  1. http://www.pgp.com/support/product-advisories/csmap.asp
  2. http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp
  3. http://www.kb.cert.org/vuls/id/206723

CERT Coordination Centerはこの文書が基づく勧告を提出してくれたこと に対してPGP Securityに感謝するものである。

この文書に対するフィードバックは直接、著者Ian A. Finlayに送るとよい。

この文書の原文は次で入手できる。
http://www.cert.org/advisories/CA-2001-25.html

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

Sep. 06, 2001: 第1版公開
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約6時間後である。

本和訳の改訂履歴
2001年9月07日午後3時15分 (JST) 初版公開

訳者並びに連絡先: 橋本喜代太