エンタープライズ:ニュース 2003/03/20 12:34:00 更新


再びXDRライブラリに脆弱性、広範なUNIXシステムに影響

米イーアイ・デジタル・セキュリティは、複数のUNIXシステムに、任意のコード実行を許しかねないセキュリティホールを発見した。さまざまなUNIX OSやアプリケーションで利用されているXDRライブラリに原因がある。

 米イーアイ・デジタル・セキュリティによると、複数のUNIXシステムに、任意のコード実行を許しかねないセキュリティホールが発見された。これを受けてCERT/CCも、米国時間の3月19日にアドバイザリを公開している。

 今回指摘された問題は、RPC実装としてさまざまなUNIX OSおよびアプリケーションで利用されている「XDR(eXternal Data Representation)」ライブラリに起因するものだ。サン・マイクロシステムズより提供されているXDRライブラリの「xdrmem_getbytes()」ファンクションに、バッファオーバーフローの脆弱性が存在しており、これを悪用すれば、サービス拒否(DoS)攻撃を仕掛けたり、リモートから任意のコードを実行されたり、あるいは情報の流出を招いてしまう可能性がある。

 XDRライブラリの脆弱性は、2002年8月にも警告されていた。このとき問題になったのは、「xdr_array()」ファンクションであり、今回焦点となっているxdrmem_getbytes()とは異なる。

 しかし、影響が及ぶ範囲となれば同様だ。このXDRライブラリは、サン・マイクロシステムズの「Solaris」に含まれる「libnsl」のみならず、さまざまな実装にも含まれている。CERT/CCでは特に、libnslに加え、BSD派生のライブラリおよびGNU Cライブラリについても脆弱性が存在していると指摘している。いわゆるlibcとglibcだ。

 解決策は、各ベンダーが提供するパッチを適用することだ。サン・マイクロシステムズでは、Solaris 2.6/7/8および9用のパッチを準備しており、まもなく同社サイトで公開するとしている。またIBMも同様に、AIX 4.3.3/5.1.0/5.2.0用の修正パッチを提供しているという。さらに、バージョン2.3.1以前のGNU C ライブラリ(glibc)にも脆弱性が存在しており、パッチが公開されている。これらパッチの適用が困難な場合には、脆弱性が残ったままのxdrmem_getbytes()ファンクション込みでコンパイルされたサービス、アプリケーションを停止するべきという。

関連記事
▼広範囲に影響、XDRライブラリの脆弱性

関連リンク
▼米イーアイ・デジタル・セキュリティ(XDR Integer Overflow)
▼CERT Advisory CA-2003-10 Integer overflow in Sun RPC XDR library routines
▼CERT(Vulnerability Note VU#516825)

[高橋睦美,ITmedia]