デンマークSecuniaなどは現地時間1月13日,複数のセキュリティ・ゲートウエイ製品(ゲートウエイ型ウイルス対策ソフトや侵入防御システムなど)に,ウイルスなどを適切に検出できないセキュリティ・ホールがあることを公表した。特定の形式で送られてきたトラフィックについては,その中身をきちんとチェックできない場合があるという。
Secuniaでは,「TippingPoint UnityOne IPS」「IronPort AsyncOS」「McAfee WebShield Appliances」「Check Point Firewall-1 NG with SmartDefense」「ISS Proventia」「TrendMicro InterScan」――に今回のセキュリティ・ホールがあることを確認している。これらの製品の管理者は,ベンダーなどから出されている情報をチェックしたい。
今回のセキュリティ・ホールは,RFC2397で規定されたURLのスキーム「data」に関するもの。セキュリティ・ゲートウエイ製品の一部はRFC2397をきちんとサポートしていない。具体的には,base64でエンコードされた画像ファイルがdataスキームを使ってHTMLファイル中に埋め込まれていると,たとえその画像ファイルが危険なものであっても,一部のセキュリティ・ゲートウエイ製品は検出できない。
検出できない場合があるのは画像ファイルだけだが,以前出現した「JPEGウイルス」のように危険な画像ファイルは存在するので油断は禁物(関連記事)。今回のセキュリティ・ホールを突かれると,セキュリティ・ゲートウエイ製品は危険な画像ファイルを素通ししてしまう。
セキュリティ・ゲートウエイ製品の管理者は,自分たちが利用している製品に今回のセキュリティ・ホールが存在するかどうか確認したい。存在する場合には,パッチなどが提供され次第,適用したい。
セキュリティ・ゲートウエイ製品は,一元的にトラフィックをチェックできるので有用ではある。しかしながら万全の製品は存在しないので過信は禁物。ゲートウエイをすり抜けた場合に備えて,クライアント側でも対策しておきたい。
◎参考資料
◆TippingPoint UnityOne Intrusion Prevention Systems RFC2397 Bypass Weakness
◆Ironport AsyncOS RFC2397 Bypass Weakness
◆McAfee Webshield Appliances RFC2397 Bypass Weakness
◆Check Point Firewall-1 NG SmartDefense RFC2397 Bypass Weakness
◆ISS Proventia RFC2397 Bypass Weakness
◆TrendMicro InterScan RFC2397 Bypass Weakness
◆The "data" URL scheme(RFC2397)
◆Multi-vendor AV gateway image inspection bypass vulnerability January 10, 2005
(勝村 幸博=IT Pro)
