エンタープライズ:ニュース 2003/08/02 04:12:00 更新


NAIのウイルス対策ソフト管理製品「ePolicy Orchestrator」に複数の脆弱性

Network Associatesの「ePolicy Orchestrator(ePO)」に、複数のセキュリティホールが発見された。中には任意のコードの実行を許してしまうものも含まれている。

 企業向けウイルス対策ソフト「McAfee VirusScan Enterprise」をはじめとするNetwork Associatesのセキュリティ製品を管理する「ePolicy Orchestrator(ePO)」に、複数のセキュリティホールが発見された。米Network Associatesでは問題を修正するパッチを7月31日に公開し、強くアップグレードを推奨している。

 一連の問題のうち3つは、セキュリティ企業の@Stakeが発見、報告したものだ。Windows版ePO 2.0/2.5および2.5.1と最新バージョンの3.0に影響し、最悪の場合、攻撃者に任意のコマンドを実行されてしまう可能性もあるという。

 うち2つは、ePOのサーバ側に存在する。まず、ePO 2.xと3.0では、特定形式のHTTPリクエストを通じてePOサーバの設定ファイルを入手できる。この設定ファイルには、ユーザーアカウントと暗号化されたパスワードが含まれているのだが、暗号の実装が脆弱なために、容易に元のパスワードを修復できてしまう。ePOは、設定情報の蓄積用にMSDEをインストールするが、これもデフォルト状態のままなので、上記のステップを通じて入手したアカウントとパスワードを用い、MSDEを通じて任意のコマンドを実行できてしまうという。

 サーバ側の問題の2つめは、ePO 2.0、2.5、2.5.1のみに影響するものだ。サーバに対し、特定の文字列を含んだComputerListパラメータを含むPOSTリクエストを投げることによってサービスがクラッシュしてしまう。この文字列の形式を工夫することで、任意のコードの実行も可能という。

 3つめの問題はクライアント(エージェント)側に存在する。これも影響を受けるのはePO 2.0、2.5、2.5.1のみだ。URLの中に大量の文字列を含んだPOSTリクエストを送りつけると、エージェント側のサービスが停止する。このリクエストに仕掛けを施すと、任意のコマンドが実行できてしまうという。

 また、任意のコマンドが実行できてしまうわけではないが、ePO 3.0のエージェントにもセキュリティホールが存在する。特定のHTTPリクエストを受け取ると、攻撃者に任意のファイルを読み取られてしまうおそれがあるという。

 なお並行して、日本ネットワークアソシエイツも顧客に対する告知を公開し、パッチを公開するとともに、速やかな適用を呼びかけている。ただし8月2日2時現在、パッチのダウンロード用ページの記述によると、日本語のリリースノートなどはまだ準備中という。

関連リンク
▼Network Associates Security Bulletin 07/31/03
▼@Stake Security Advisory: ePolicy Orchestrator Multiple Vulnerabilities
▼日本ネットワークアソシエイツ: ePolicy Orchestratorの脆弱点に関するご案内

[ITmedia]