セキュリティ関連情報を提供する非営利団体である米CERT/CCは米国時間9月6日,米Network Associatesのファイアウオール・ソフト「Gauntlet」にセキュリティ・ホールがあることを警告した。このセキュリティ・ホールを悪用すれば,Gauntletが動作するマシン上で任意のコマンドを実行できる。加えて,そのマシンとの間で信頼関係にある他のネットワーク機器などへアクセスして,設定を変更することなどが可能となる。信頼関係とは,お互いセキュアであることを前提に認証なしでアクセスできるようにしてあることを指す。
対策は,Network Associatesが米国時間9月4日に公開したパッチを適用すること。同社サイトでは,今回のセキュリティ・ホールに関する情報とパッチを公開している。
なお,Gauntlet そのものだけではなく,同ソフトを内部で使用している別のソフトウエアやアプライアンス製品も影響を受ける。影響を受けるのは,以下の製品である。
- Gauntlet for Unix versions 5.x
- PGP e-ppliance 300 series version 1.0
- McAfee e-ppliance 100 and 120 series
- Gauntlet for Unix version 6.0
- PGP e-ppliance 300 series versions 1.5, 2.0
- PGP e-ppliance 1000 series versions 1.5, 2.0
- McAfee WebShield for Solaris v4.1
セキュリティ・ホールの原因は,Gauntlet に含まれる「smap/smapd」および「CSMAP」という名称のデーモン・プログラムである。これらは,電子メール(SMTP)のトラフィックを中継するために使われるプログラムである。これらのプログラムには未チェックのバッファが含まれるため,バッファ・オーバーフローを引き起こす恐れがある。その結果,Gauntlet が動作するマシン上で,任意のコードを実行される可能性がある。このとき,コードは smap/smapd あるいは CSMAP が動作する権限で実行される。
加えて,ファイアウオール・マシンと信頼関係を結んでいる,別のネットワーク機器などへ侵入される恐れもある。その結果,機器の設定などを変更される可能性がある。ファイアウオールと他のネットワーク機器が連動できるように,それらに信頼関係を設定している場合は多い。その場合,ファイアウオール・マシンから別の機器へは認証なしでアクセスできてしまうために,侵入が可能になってしまう。
Network Associates(正確には,同社の一部門である米PGP Security)は CERT/CC から警告が出る前に,セキュリティ・ホール情報とパッチを公開した。深刻なセキュリティ・ホールなので,管理者は早急にパッチを適用する必要がある。
◎参考資料
◆Buffer Overflow in Gauntlet Firewall allows intruders to execute arbitrary code(米CERT/CC)
◆CSMAP and smap/smapd BUFFER OVERFLOW VULNERABILITY ADVISORY(米PGP Security)
