Sunのクラスタリング・ソフトとXサーバーに見つかったホールを解説する

Compaq Tru64 Unix にも2種類のセキュリティ・ホール

新井悠

2002.04.22

　今回のコラムでは，米Sun Microsystemsの「Sun Cluster」と，SolarisのX Windowサーバー・ソフト（Xsun）に見つかったセキュリティ・ホールを解説する。特に前者は，リモートからシステム情報を盗まれる恐れがあるので，対象システムの管理者は早急に対応したい。加えて，Compaq Tru64 Unix のセキュリティ・ホールについても説明する。

「Sun Cluster」にシステム情報を取得されるホール

　Sun Microsystems の Sun Cluster は，同社 OS の Solaris が稼働するマシンをクラスタリングするためのソフトウエアである。耐障害性やスケーラビリティを向上させるこのようなソフトウエアは，高可用性が要求される e-commerce サイトなどでは，今や不可欠なものとなりつつある。

　そんな Sun Cluster にセキュリティ・ホールが見つかっている。4月8日に更新された同社の情報によれば，Sun Cluster 2.1 および 2.2 には，リモートの攻撃者が次のような情報を取得できる問題があるという。

cluster の設定
システムの messages ファイル（デフォルトのパスは /var/adm/messages）の内容
データベース障害監視プログラムのユーザー名とパスワード
システムがデータベース・サーバーである場合は，データベースの owner ユーザーのユーザー名とパスワード

　筆者が調べたところ，この問題そのものは2000年12月に報告されていることが分かった。Dixie Flatline 氏によって，Bugtraq メーリング・リストに投稿されていたのである。

　Sun Cluster のデーモン・プログラム（in.mond）は，TCP 12000 番ポートで要求を待つように設定されている。つまり，このポートを通して，クラスタ化されたノード（マシン）同士は通信を行っているのだが，この通信には認証機能がない。そのために，上記のような問題が発生するという。

　対策は，Sun Microsystems が公開するパッチを適用すること。また，信頼できないネットワークやホストから TCP 12000 番ポートへのアクセスを遮断することでも回避できる。

　なお，Sun Microsystems の情報によれば，Sun Cluster 3.0 および Solstice HA 1.3 は影響を受けない。

【パッチ情報】:
◆Solaris 2.5.1 および 2.6 上の Sun Cluster 2.1 用
◆Solaris 2.6 上の Sun Cluster 2.2 用
◆Solaris 7 上の Sun Cluster 2.2 用
◆Solaris 8 上の Sun Cluster 2.2 用

「Xsun」にローカルからの攻撃を許すホール

中国のセキュリティ・ベンダーである NSFOCUS は4月2日，「Xsun（/usr/openwin/bin/Xsun）」のセキュリティ・ホールに関するアドバイザリを公開した。

　Xsunとは，Sun Microsystems の Solaris OS に付属する，X Window サーバー・プログラムである。見つかったセキュリティ・ホールは，「ヒープ・オーバーフロー」と呼ばれる，バッファ・オーバーフローの一種である。

　Xsun は「-co」オプションを利用することで，X Window で使用する RGB カラー・データベース・ファイルのパスを指定することができる。NSFOCUS のアドバイザリによれば，「-co」の引数として6000バイト以上の文字列を指定された場合，Xsun はヒープ領域でバッファ・オーバーフローを発生するという。

　Xsun は，SPARC アーキテクチャ上ではデフォルトで「SGID root」と設定されており，Intel アーキテクチャ上では「SUID root」と設定されている。したがって，今回のセキュリティ・ホールを悪用されれば，SPARC では root グループの権限で，Intel では root ユーザーの権限で，任意のコードを実行される可能性がある。ただし，リモートから悪用されることはない。マシンへログインできるローカル・ユーザーしか悪用できない。

　とはいえ，もちろん油断はできない。一般ユーザーのIDとパスワードを何らかの手段で入手した攻撃者が，その権限でリモートからログインし，上記のセキュリティ・ホールを悪用してrootを乗っ取る可能性がある。また，一般ユーザーによる攻撃の可能性も否定できない。管理者は対策を施す必要がある。

　残念ながらパッチは公開されていない。NSFOCUS のアドバイザリによれば，同社は2001年8月にこの問題を Sun Microsystems に連絡したが，その後何の音沙汰もないという。連絡の後に公開された最新のパッチを適用しても，この問題は発生するという。

　したがって，Xsun に付与された SUID/SGID ビットを外すことや，Xsun そのものを削除することで対処するしかない。

Compaq Tru64 Unix にもホール，ローカル・ユーザーの権限を昇格

　筆者が所属する「LAC SNS Team」は，Compaq Tru64 Unix に見つかった2種類のセキュリティ・ホール情報を公開した。詳細は，「SNS Advisory No.50」および「SNS Advisory No.51」にまとめてある。

　いずれも，ローカルの一般ユーザーに root 権限を奪われる---いわゆる，権限の昇格（privilege escalation）を許す---恐れがあるセキュリティ・ホールである。

　特に，「No.51」で公表した libc の問題は，影響範囲が比較的広いと考えられる。というのも，libc 自身ではなく，libc へリンクされている実行ファイルを利用することでも，権限の昇格が可能となる恐れがあるからだ。ただし，このとき利用する実行ファイルには，SUID あるいは SGID ビットが設定されている必要がある。

　対策は，米Compaq が公開しているパッチを適用すること。パッチの詳細については，同社が公開しているアドバイザリに記載されている。

新井悠 (ARAI Yuu)
株式会社ラック　コンピュータセキュリティ研究所
y.arai@lac.co.jp

　IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は，その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え，専門家の立場から解説していただきます。