　Symantecは米国時間の2月1日、企業向けのエンドポイントセキュリティ製品「Sygate Secure Enterprise」の一元管理を行う管理サーバ「Symantec Sygate Management Server（SMS）」にSQLインジェクションの脆弱性が存在することを明らかにした。

　Sygate Secure Enterpriseは、パーソナルファイアウォールやホストベースのIPS機能により、ウイルスやさまざまな不正アクセスからPCを保護するとともに、端末の状態が企業が定めたセキュリティポリシーに適合しているかどうかをチェックする機能を備えたセキュリティ製品だ。Symantec SMSでは、端末に導入されるSygate Agentのポリシーを一元的に設定、管理することができる。

　指摘された脆弱性は、認証サーブレットにおける入力値チェックが不十分なことに起因する。細工を施したHTTPリクエストを受け取ると、仕込まれたSQLクエリによって、管理者アカウントも含め、Symantec SMSのアカウントすべてのパスワードが上書きされる恐れがある。

　こうなると、攻撃者にSMSのコンソールに管理者権限でアクセスされ、SMSの管理下にある端末のSygate Agentを無効化されたり、悪意あるスクリプトを配信される可能性があるという。

　脆弱性が存在するのはSymantec SMSのバージョン4.1以前。日本語版ではバージョン4.1GA／ビルド1258以前が影響を受ける。Symantecでは問題を修正するアップデートを公開し、速やかに適用するよう推奨している。ただし日本語版のパッチについては、代理店のマクニカ経由で提供されるため、同社のサポートにコンタクトしてほしいとしている。

　なお、パッチをすぐに適用できない場合は、アクセスコントロールリストでSymantec SMSへのアクセスを制限することによって、問題を回避できるという。