米CERT/CCは8月15日,ネットワーク管理ソフトである米Hewlett Packard(HP)の「OpenView」ならびに米Tivoliの「NetView」のセキュリティ・ホールを警告した。ある特定のメッセージを送信すると,それぞれが稼働するマシン上で任意のコマンドを実行できてしまうという。
影響を受けるのは,特定のプラットフォーム(後述)で稼働する「HP OpenView Network Node Manager(NNM)バージョン 6.1」および「Tivoli NetView バージョン 5.x と 6.x」。OpenView NNM 6.1 はデフォルト設定で影響を受ける。6.1 未満でも,設定ファイル「trapd.conf」を変更している場合には,影響を受ける恐れがあるという。Tivoli NetView 5.x と 6.x はデフォルトでは影響を受けない。設定を変更している場合のみ影響を受ける。対策は,両社がWebサイトで公開しているパッチを適用すること。
影響を受けるプラットフォーム(OS)は以下の通り。
HP OpenView NNM バージョン 6.1 の場合
・hp9000サーバ上で稼働する HP-UX 10.20 あるいは 11.00
・Solaris 2.x
・Windows NT4.x/2000
Tivoli NetView バージョン 5.x と 6.x の場合
・AIX
・Solaris
・Tru64 Unix
・Windows NT4.x/2000
なお,これら以外のプラットフォームも影響を受ける可能性がある。いくつかのプラットフォームについて,CERT/CCは未確認としている。確認され次第,CERT/CCはアドバイザリを更新するとしているので,両ネットワーク管理ツールのユーザーは要注意である。
セキュリティ・ホールは,それぞれのツールのコンポーネントである「ovactiond」に存在する。ovactiond は 両ツールの SNMP(Simple Network Management Protocol)トラップおよびイベント・ハンドラである。このセキュリティ・ホールを悪用して,ある特定のメッセージをツールが稼働するマシンに送信すると,任意のコマンドを実行できてしまう。
コマンドは ovactiond の権限で実行される。この権限はプラットフォームによって異なり,UNIX OS の場合には「bin」ユーザー,Windows の場合には「Local System」となる。そのため,Windows の場合には管理者権限を奪うことが可能となる。UNIX の場合でも,別のセキュリティ・ホールを悪用するなどして,bin から 管理者(root)権限を奪われる可能性がある。
加えて,ネットワーク管理ツールを稼働しているマシンは,他のネットワーク装置などと信頼関係を結んでいる場合が多い。そのため,それらにも侵入され,設定変更などを許す恐れがある。
対策は,両ベンダーが公開しているパッチを適用することである。HP は6月21日に公開済みである。ただし,両ベンダーとも,パッチのWebページにアクセスするには,ユーザー登録が必要。パッチの詳細情報については,CERT/CCのアドバイザリを参照してほしい。
◎参考資料
◆CERT Advisory CA-2001-24 Vulnerability in OpenView and NetView(米CERT/CC)
◆Hewlett Packard OpenView and Tivoli NetView do not adequately validate SNMP trap arguments(米CERT/CC)
