CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-31

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-31
CDEサブプロセスコントロールサービスにバッファオーバフローが存在する 

Original release date:  November 12, 2001

Last revised:  November 30, 2001

Source: CERT/CC


本和訳の最終改訂日は2001年12月14日である。

本和訳の原文は http://www.cert.org/advisories/CA-2001-30.htmlである。

本文書並びに本和訳の完全な改訂履歴は文書末尾にある。

影響を受けるシステム

  • CDEを動作させているシステム

概要

CDEサブプロセスコントロールサービスで使用されるライブラリ関数の一つに リモートから付け入ることのできるバッファオーバフローの脆弱性が存在する。 この脆弱性を使うことで、サービスをクラッシュさせたり、root権限で任意の コードを実行したりできるであろう。この脆弱性はVU#172583に文書化されて いる。

I. 説明

共通デスクトップ環境 (CDE)はUNIX OSやLinux OS上で動作する統合GUIである。 CDEサブプロセスコントロールサービス (dtspcd) はネットワークデーモンで、クライアントからのリクエストを受け付け、 コマンドを実行し、リモートでアプリケーションを起動する。CDEを動作させて いるシステム上では、dtspcdはCDEクライアントの リクエストに応答する形でインターネットサービスデーモン(典型的には、 inetdxinetd) によって複数起動される。

CDEに関する詳しい情報については以下を参照せよ。

http://www.opengroup.org/cde/

http://www.opengroup.org/desktop/faq/

このdtspcdが利用する共有ライブラリの一つにリモート から付け入ることのできるバッファオーバフローの脆弱性が存在する。クライアント とのネゴシエーションを行なっている際、dtspcdは 適切な入力チェックを行なわないまま、クライアントからの長さの値と後続するデータ を受け付けてしまう。この結果、悪意あるクライアントは dtspcdに送るデータを加工することで、バッファオーバフローを 引き起こし、可能性としてはroot権限でコードを実行できることになる。

この脆弱性は1999年3月に最初に我々に報告されたが、その後、 Internet Security Systems (ISS) X-Forceも 報告してきている。より詳しい情報は以下を参照せよ。

http://www.kb.cert.org/vuls/id/172583

http://xforce.iss.net/alerts/advise101.php

この脆弱性はCommon Vulnerabilities and Exposures (CVE) groupにより CAN-2001-0803という識別子が与えられている。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0803

多くの一般的なUNIXシステムはデフォルトではCDEがインストールされ有効に なるようになっている。自システムがdtspcd を使うよう設定されているかどうかを判断するには、次の各ファイルにdtspc の記載があるかどうかを確認せよ。

/etc/services

dtspc 6112/tcp

/etc/inetd.conf

dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
CDEサブプロセスコントロールサービスを動作させていないシステムはこの問題に 対して脆弱ではない。

II. 影響

攻撃者はroot権限で任意のコードを実行できる。

III. 解決策

修正パッチを適用せよ

Appendix Aにはこの勧告に対するベンダ提供の 情報がある。ベンダがCERT/CCに対して新たな情報を報告して きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。 特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない ことを意味している。その場合はベンダに連絡を直接取られたし。

脆弱なサービスに対するアクセスを限定せよ

修正パッチが入手可能になり、適用できるまでは、インターネットのような 信頼関係の確立していないネットワークからのサブプロセスコントロールサービス へのアクセスを限定ないし遮断した方がよいかもしれない。その場合、ファイアウォールまたは その他のパケットフィルタリングにより、サブプロセスコントロールサービスが 使用しているポートへのアクセスを遮断ないし限定するとよい。上記で述べたように、 dtspcdは典型的にはポート番号6112/tcpを待ち受ける よう設定されている。 TCP Wrapper等を使って、dtspcd接続について さらに細かくアクセス制御を行なったり、ログ記録を取ったりすることもできる。 ただし、ネットワーク境界でポートを遮断しても、脆弱なサービスが 内部ネットワークからの攻撃に対して防護されるわけではない点は念頭に置いて おきたい。また、どのような変更が適切化を判断するには自ネットワークの設定や サービス要求を理解しておくことが重要である。 TCP Wrapper は以下で入手できる。

ftp://ftp.porcupine.org/pub/security/index.html

脆弱なサービスを無効にせよ

/etc/inetd.confでコメントアウトすることで dtspcdを無効にするのもよいだろう。もっともよい 習慣としては、明示的に必要とされていないサービスはすべて無効にすることを CERT/CCは推奨する。また、上記の述べたように、自環境で自分の行なった変更が どのような結果を招くかを考慮するのは重要である。

Appendix A. - ベンダ情報

このAppendixでは、この勧告に対してベンダが提供してくれた 情報を掲載している。ベンダがCERT/CCに対して新たな情報を報告して きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。 特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない ことを意味している。

Caldera, Inc.

Caldera Open Unix と UnixWare は脆弱である。Calderaは セキュリティ勧告CSSA-2001-SCO.30を発行した。

ftp://stage.caldera.com/pub/security/openunix/
CSSA-2001-SCO.30/CSSA-2001-SCO.30.txt

Compaq Computer Corporation

Case ID SSRT0782U
CompaqはCompaq OSのいずれでもこの勧告で特定される問題を再現することは できていない。しかし、得られた情報を検討して、Compaq TRU64 UNIXに ついてはコードを変更し、さらなる潜在的なオーバフローの脆弱性を なくす作業を行なっている。この更新コードはTRU64 UNIX FTPサイトで修正 パッチが入手できるようになった時点で改めてアナウンスする。また、 今後のTRU64 UNIXのリリースではこの更新コードが使われる。TRU64 UNIX FTP パッチサイトは以下である。

http://ftp.support.compaq.com/public/dunix/
CompaqのSoftware Security Response Teamが発行する今後のセキュリティ勧告を 電子メールで自動的に送付して欲しい場合は、ブラウザで次のURLに接続せよ。
http://www.support.compaq.com/patches/mailing-list.shtml
"Security and Individual Notices"を選択すれば、緊急連絡は直接メールボックスに 届けられるようになる。

新たなセキュリティにまつわる脆弱性を報告するには以下にメールを送られたし。
security-ssrt@compaq.com

Cray Inc.

UNICOS, UNICOS/mk, 並びに CrayTools は脆弱ではない。

Fujitsu

Fujitsu's UXP/V OSはいかなるCDEコンポーネントもサポートしていないので、 この問題に対して脆弱ではない。

Hewlett-Packard Company

Hewlett-PackardはSecurity Bulletin HPSBUX0111-175を発行した。Hewlett-Packard Security BulletinsはIT Resource Center ウェブサイト (登録が必要)で入手できる。
http://www.itresourcecenter.hp.com/

IBM Corporation

IBMのAIX開発チーム並びにセキュリティチームは現時点でもCDEのdtspcd (サブプロセスコントロールデーモン)のソースコードを検証中である。 今回分かったことだが、3年前にこの脆弱性への対処として開発した修正は、今回の セキュリティホールを閉じるのには有効ではない。このことが分かってから、この脆弱性 を(金輪際!)なくすために、AIX 4.3並びにAIX 5.1用に緊急修正とAPAR割り当てを開発した。
  • For AIX 4.3, the APAR is IY25436
  • For AIX 5.1, the APAR is IY25437
緊急修正を受け取るには、AIX SupportLineの顧客であれば、1-800-CALL-AIXに電話されたい。
ftp://aix.software.ibm.com/aix/efixes/security/
このefixには 別のバッファオーバフロー問題であるlibDtSvc.aへの対処 (上記のftpサイトで efix "CDE_libDtSvc_efix.tar.Z"として公開されているもの)も含まれている。 このため、顧客各位はこの2つの修正を適用するに当たって、今回のefix ("CDE_dtspcd_efix.tar.Z")だけをダウンロードしてインストールすればよい。

The Open Group

Open Groupは共通デスクトップ環境 (CDE)のソースコードを維持管理している。 Open Groupはこの問題を調査中であり、Open GroupのCDE製品のソースラインセンス 貸与者は今回の問題についての助言が必要であれば、 desktop@opengroup.orgに コンタクトを取って欲しい。

SGI

SGIはCERTが報告するCDEに関する脆弱性問題があることを認識しており、現在調査中 である。現時点ではこれ以上の情報はない。全顧客の保護のため、SGIは十全な調査が 完了し、必要な修正パッチないしリリースストリームがサポート中で脆弱なすべての IRIX OSで利用可能になるまで、脆弱性を開示、議論、存在確認することはない。 SGIがはっきりした情報を提供するまでは、顧客各位はすべてのセキュリティ上の 脆弱性が付け入られる可能性を有していると想定し、ローカルサイトのセキュリティ ポリシーならびに要求に合わせて適切な対処を取ることが推奨される。より詳しい情報 が公開可能になった時点で、wiretapメーリングリストをふくむSGIで通常のセキュリティ 情報配布方法により、勧告を発行する予定である。

http://www.sgi.com/support/security/

Sun

SunはSecurity Bulletin #00214をリリースした。

http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/214
また、Sun Alert Notification 41764も発行した。
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=salert/41764

Xi Graphics

我々の提供するソフトウェアがこの問題について脆弱であるかどうかは まだ確認できていないが、バッファオーバランが存在する可能性はある。この 問題に対処する為、11月12日に始まる週のうちにDeXtop用の修正パッチを 当方のFTPサイトで提供する予定である。

Appendix B. - 参照文献
  1. http://www.kb.cert.org/vuls/id/172583
  2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0803
  3. http://xforce.iss.net/alerts/advise101.php
  4. http://www.opengroup.org/cde/
  5. http://www.opengroup.org/desktop/faq/

The CERT Coordination Center thanks Internet Security Systems (ISS) X-Force, who published an advisory on this issue.

著者: Art Manion

この文書の原文は、 http://www.cert.org/advisories/CA-2001-31.htmlで入手できる。

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

November 12, 2001:  初版公開、脆弱なサービスを無効にする回避策を追加
November 13, 2001:  updated vendor information for HP
November 15, 2001:  updated vendor information for IBM, Xi Graphics
November 16, 2001:  updated vendor information for IBM
November 30, 2001:  updated vendor information for SGI
December 17, 2001:  updated vendor information for IBM
January 10, 2002:  updated vendor information for Sun
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約8時間後である。

本和訳の改訂履歴
2001年11月13日午後4時10分 (JST) 初版公開
2001年12月14日午後9時20分 (JST) 更新履歴に挙げられた改訂に追従。 2002年1月15日午前4時35分 (JST) 更新履歴に挙げられたIBM, Sunのベンダ情報改訂に追従。

訳者並びに連絡先: 橋本喜代太