|
CERT Advisory 2001-32
- この文書はCERT Advisory文書の和訳である。和訳については一切の
保証はしない。この文書を使った結果のあらゆる損害等について
訳者は一切責を負わない。また、転載は禁じる。
- リンクを張るのは自由であるが、それにより発生するかもしれない
直接間接問わず一切の帰結に訳者は責任を負わない。
- この和訳は文書の性質上、in rushであり、訳の自然さより
も訳出の迅速さを目指している。内容の正確さについては訳者としての
良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を
図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが
残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の
性質上、ネットワーク管理者等であるため、この読者層に通じやすい
訳語選定を心がけている。
- この和訳はあくまでも訳者の個人的な関心に基づいて行われている。
今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが
どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること
がある。
- 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で
CERTと契約を行って翻訳を行っているところがある。
なお、本翻訳はその翻訳を
一切参照していない。特にその必要を感じないからでもあるが、本質的に
翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意
深い読者が比較検討して、読者の判断で何が正しいのかを判断できると
考えるためである。
- この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を
受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容
についての責任は最初に書いたように負わない。
- 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org,
hash@center.osaka-wu.ac.jp)
である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
- 関連文書は
ここにリストがある。
CERT® Advisory CA-2001-32
HP-UXのラインプリンタデーモンにディレクトリトラバーサルの
脆弱性が存在する
Original release date: November 21, 2001
Last revised: December 6, 2001
Source: CERT/CC
本和訳の原文は
http://www.cert.org/advisories/CA-2001-32.htmlである。
本文書並びに本和訳の完全な改訂履歴は文書末尾にある。
影響を受けるシステム
HP9000サーバで次のリリースを動作させているもの:
- HP-UX Version 10.01
- HP-UX Version 10.10
- HP-UX Version 10.20
- HP-UX Version 11.00
- HP-UX Version 11.11
概要
HP-UXのラインプリンタデーモン(rlpdaemon)はさまざまなクライアントに
ネットワーク経由でプリンタを共有することを可能にするものである。
このrlpdaemonにリモートから付け入ることのできるディレクトリトラバーサル
(directory traversal)
の脆弱性が存在する。
I. 説明
rlpdaemonを動作させているHP-UXホストに特別に加工した印刷要求を送る
ことによって、ローカルまたはリモートの攻撃者は任意のファイルまたは
ディレクトリを作成することができる。システム上にファイルを作成することが
できるため、攻撃者はこの脆弱性を使って、システム対する特権アクセスを得る
ことができる。ラインプリンタデーモンは印刷サービスを
提供するためデフォルトで有効になっているため、
侵入者にはこの脆弱性は付け入るのに魅力的なものである。
さらにこの脆弱性を
悪用するのには、脆弱なシステムに関する事前の知識やアクセスも必要と
しない。
Internet Security Systems (ISS)とHewlett-Packard社はそれぞれ次の
告知を発行している。
-
HP-UXのラインプリンタデーモンにリモートロジックフローの脆弱性が存在する(Remote Logic Flaw Vulnerability in HP-UX Line Printer Daemon)
-
Hewlett-Packard Company Security Bulletin #0176
この脆弱性にはCommon Vulnerabilities and Exposures (CVE)グループ
により、CAN-2001-0817の識別番号が付けられている。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0817
この脆弱性に関する最新かつ最も詳細な情報については
VU#638011
を参照すること。
II. 影響
An attacker may be able to gain priviledged access and execute arbitrary code on the target system
攻撃者はターゲットシステム上で、特権レベルを奪取し、任意のコードを実行できる
可能性がある。
III. 解決策
HPが提供する修正パッチをインストールせよ。詳しくはAppendix Aを参照のこと。
lpdサービスへのサクセスを制限せよ
一般的な習慣として、明示的に要求されてはいないサービスは
すべて無効にすることを推奨する。修正パッチがベンダから提供
されるまでは、ラインプリンタデーモンを無効にした方がよい
かもしれない。
このサービスを無効にできない場合は、ポート番号515/TCP (プリンタ)
へのアクセスをルータまたはファイアウォールを使って制限することで
ここで説明した脆弱性に無防備になる範囲を制限できる。ただし、こうした
対処をしても自ネットワークの内側からの攻撃は防げない。
Appendix A. - ベンダ情報
このAppendixでは、この勧告に対してベンダが提供してくれた
情報を掲載している。ベンダがCERT/CCに対して新たな情報を報告して
きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。
特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない
ことを意味している。
Hewlett-Packard Company
Hewlett-Packard Company Security Bulletin #0176を見て欲しい。
Appendix B. - 参照文献
- http://www.kb.cert.org/vuls/id/638011
- http://xforce.iss.net/alerts/advise102.php
- http://www.kb.cert.org/vuls/id/IAFY-54PKL4
この脆弱性はInternet Security Systems (ISS)のMark DowdとKris Huntが
発見し研究した。CERT/CCはこの勧告にも含まれる情報を提供してくれた
ことについてISSに謝意を表する。
著者: Ian
A. Finlay.
この文書は以下で入手できる。
http://www.cert.org/advisories/CA-2001-32.html
CERT/CCへの連絡は
電子メール: cert@cert.org
電話: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
郵便送付先:
-
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CCの職員は月曜〜金曜の personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)であればホットラインを受け付けている。他の時間、合衆国の祝日、週末も緊急時の
ため待機している。
暗号を利用する
セキュリティ上微妙な情報を電子メールで我々に送る場合は暗号化することを
強く推奨する。我々の公開PGP鍵は以下で入手できる。
DESを利用したい場合は、CERTホットラインに電話して欲しい。
セキュリティ情報を得る
CERTの出版物ならびにその他のセキュリティ情報はCERTのウェブサイトで見ることができる。
CERTの勧告、速報を配布するメーリングリストを購読したい場合は、
majordomo@cert.org
に本文が次のようなメールを送ること。
subscribe cert-advisory
* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。
NO WARRANTY
Any material furnished by Carnegie Mellon University and the
Software Engineering Institute is furnished on an "as is"
basis. Carnegie Mellon University makes no warranties of any kind,
either expressed or implied as to any matter including, but not
limited to, warranty of fitness for a particular purpose or
merchantability, exclusivity or results obtained from use of the
material. Carnegie Mellon University does not make any warranty of any
kind with respect to freedom from patent, trademark, or copyright
infringement.
Conditions for use, disclaimers, and sponsorship information
Copyright 2001 Carnegie Mellon University.
更新履歴
November 21, 2001: initial release
December 06, 2001: changed title, updated description, updated impact
この翻訳は橋本喜代太(hash@reasoning.org)が行った。
翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに
メールが届いた時点であり、訳者自身がメールを見た時点ではない)
約3時間後である。
本和訳の改訂履歴
2001年11月22日午前10時10分 (JST) 初版公開
2001年12月14日午後9時12分 (JST) Revision Hisotoryにある改訂に追従。
訳者並びに連絡先: 橋本喜代太
|