UNIX OSで使用される統合GUI環境「CDE(Common Desktop Interface,共通デスクトップ環境)」のサーバー・プログラム(dtspcd)にセキュリティ・ホールがあることが明らかとなった。セキュリティ組織である米CERT/CCや,セキュリティ・ベンダーである米Internet Security Systems(ISS)が,米国時間11月12日に警告した。悪用されると,管理者(root)権限で任意のコマンドやプログラムをリモートから実行される恐れがある。対策は,各OSベンダーが公開しているパッチを適用することや,サーバー・プログラムへのアクセスを制限することである。

 米CERT/CCの情報によれば,現時点でこのセキュリティ・ホールが確認されているUNIX OS は以下の通り。

  • Caldera Open Unix および UnixWare
  • IBM AIX 4.x
  • Sun Solaris

 なお,「影響を受けるかどうかは不明」あるいは「調査中」としているベンダーも多く,下記以外の OS に含まれる CDE にもセキュリティ・ホールが存在する可能性はある。詳細については,同情報を参照してほしい。

 多くのUNIXシステムにはCDEがインストールされており,デフォルトで有効になっているので,管理者は注意が必要である。

 CDE は複数のプログラムによって実現されるが,その中に「CDE Subprocess Control Service(dtspcd)」というサーバー(デーモン)プログラムが含まれる。同プログラムは,CDEを使用するクライアント・プログラムからのリクエストを,ネットワーク経由で受信するためのプログラムである。インターネット・サービス・デーモン(inetd や xinetd)から起動され,通常,ポート番号 6112/tcp でリクエストを待つ。

 この dtspcd が使用する共有ライブラリの1つに,バッファ・オーバーフローのセキュリティ・ホールが存在する。そのため,CDE クライアントから,ある特定のリクエストが送信されると,dtspcd はバッファ・オーバーフローを引き起こし,サービスを停止させられたり,dtspcdの権限(通常はroot権限)で任意のプログラムを実行されたりする恐れがある。dtspcd が原因なので,CDE を使用していても dtspcd を稼働させていない場合には,当然影響を受けない。

 対策は,(1)ベンダーが公開するパッチを適用すること,および(2)ファイアウオールなどで dtspcdが使用するポート(6112/tcp)をふさぐこと。パッチの公開状況については,米CERT/CCの情報などを参照のこと。外部からdtspcdを使用する必要がなければ,(2)を実施することが不可欠である。今回のセキュリティ・ホール対策としてだけではなく,使用しないポートをふさぐことは“セキュリティ対策の定石”である。ただし,内部からの攻撃は防げないので注意が必要だ。外部からアクセスする必要がある場合には,「TCP Wrapper」などのセキュリティ・ソフトを使用して,アクセス制限を施すことが有効である。

◎参考資料
Overflow in CDE Subprocess Control Service(米CERT/CC)
Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control Service(米Internet Security Systems)

(勝村 幸博=IT Pro編集)