米CAの「iGateway」コンポーネントにセキュリティ・ホール

IT Pro

2006.01.28

　フランスのFrSIRTは，米Computer Associates（CA）が複数の製品に組み込んでいる「iGateway」コンポーネントにセキュリティ・ホールが見つかったとして，現地時間1月24日に勧告を発表した。

　iGatewayには，バッファ・オーバーフローのぜい弱性が存在しており，システムを乗っ取られる可能性があるという。この問題の影響を受けるのは，iGateway 4.0.051230以前のバージョン。FrSIRTはこの問題の危険度を，もっとも高い「深刻（critical）」としている。

　FrSIRTによれば，Content-Lengthにマイナスの数値を入れたHTTPヘッダーがTCP5250番ポートに送られた場合，適切に処理できずバッファ・オーバーフローが発生するという。Windowsプラットフォーム上でこれらのコンポーネントを利用している場合，このぜい弱性を攻撃してシステムが乗っ取られる可能性がある。また，AIX，HP-UX，Linux Intel，Solarisといった他のプラットフォーム上でもDoS攻撃を仕掛けられる可能性があるという。

　iGatewayは，バックアップ・ソフトウエアの「BrightStor」，セキュリティの「eTrust」，管理ソフトウエアの「Unicenter」といったCA社製品に含まれるコンポーネント。CA社は，問題を修正したアップデート版（4.0.051230）を同社FTPサイトより提供している。

［発表資料へ］

この記事の目次へ戻る