JP Vendor Status Notes(JVN)などは1月11日,複数のLDAPサーバー製品にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたリクエストを送信されると,LDAPサーバーをハングアップさせられたり,任意のプログラムを実行されたりする可能性がある。影響を受けることが確認されているのは,「Hitachi Directory Server Version 2」や「Netscape Directory Server 6.x」など。対策は,LDAPで使用するポートをファイアウオールで遮断することなど。
JVNの情報によると,今回のセキュリティ・ホールを発見したのは,HIRT(Hitachi Incident Response Team)。HIRTでは,情報セキュリティ早期警戒パートナーシップに基づき情報処理推進機構(IPA)へ今回のセキュリティ・ホールを報告した。そして,JPCERTコーディネーションセンター (JPCERT/CC)から,米US-CERTへ報告され,同組織でも「Vulnerability Note VU#258905」として情報を公開した。
今回のセキュリティ・ホールは,LDAPサーバーの更新機能の実装に関するもの。LDAPサーバーの中には,更新機能の実装に未チェックのバッファが存在するものがある。このため,細工が施された更新リクエストを送信されると,バッファ・オーバーフローが発生して,LDAPサーバー(のプロセス)を停止させられる可能性がある。また,LDAPサーバーが稼働するサーバー・マシン上で任意のプログラムを実行させられる恐れもある。
今回のセキュリティ・ホールが確認されているLDAPサーバー製品は,国内製品では日立の「Hitachi Directory Server Version 2」,海外製品では「Netscape Directory Server 6.x」。また,US-CERTの情報によると,製品名は明らかにされていないものの,米HPの製品も影響を受ける(Vulnerable)とされている。
JVNの情報(PDFファイル)では,国内製品はJVNのページで,海外製品はUS-CERTのページで確認するよう勧めている。現時点では,影響を受けるかどうか「調査中」あるいは「Unknown」のベンダーが多い。これらの情報は適宜更新されるので,LDAPサーバーの管理者はチェックしたい。
現時点では,いずれのベンダーからも修正パッチなどはほとんど公開されていない。米Red Hatが,同社プラットフォーム上で稼働するNetscape Directory Serverのパッチを用意していることを表明しているだけだ。しかも,同社でも公開はしておらず,メールで要求する必要がある。
このため,現状ではアクセス・コントロールなどで対応する。JVNなどでは,LDAPが利用するポートTCP 389番/TCP 636番を境界ルーターやファイアウオールで遮断して,外部から攻撃できないようにすることを勧めている。
今後は,それぞれのベンダーからパッチや修正版が公開されることが予想されるので,管理者は現在利用している製品のベンダーのページ,ならびに前述のJVNのページおよびUS-CERTのページを頻繁にチェックしたい。
◎参考資料
◆JVN#1BF8D7AA LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性
◆「LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性」の公開
◆LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性(PDFファイル)
◆Vulnerability Note VU#258905「Multiple implementations of LDAP Directory Server vulnerable to buffer overflow」
◆Netscape Directory Server: Patches fix security issue
◆LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性
◆Netscape Directory Server LDAP Request Handling Buffer Overflow
◆情報セキュリティ早期警戒パートナーシップガイドラインについて
(勝村 幸博=IT Pro)
