ClamAVに対する悪性の実行ファイル 2007年12月18日
ClamAVに対する悪性の実行ファイル
危険度:中
日付:2007年12月18日
対象
・ClamAV 0.91.2(それ以前のバージョンも対象となる可能性あり)。
悪用法
・細工したメールの添付ファイルを送信。
影響
・攻撃者はユーザーのClamAVサーバーやディバイスで、ClamAVプロセスの権限を獲得した状態でコードを実行。
対策
・都合が付き次第ClamAVバージョン0.92をインストールすること。
【問題の詳細】
ウォッチガード・システム・マネージャー(WSM)のバージョン9.1がリリースされる以前、弊社の(GAV/IPS)や(GAV for E-mail)は、評判の良いClamAVエンジンを使ってメールの添付ファイルに潜むウィルスやワーム検出していた。(GAV for E-mail)では、まだClamAVエンジンを使用しているが、(GAV/IPS)においてはClamAVエンジンの使用をやめている。しかし、その他の様々なLinuxやゲートウェイ・ディバイスは、その製品群にClamAVを取り入れている。
米国時間の12月18日にiDefenseがリリースしたセキュリティ・アドバイザリー(英語)は、ClamAV バージョン0.91.2に関するセキュリティ問題について説明している(それ以前のバージョンも対象となる可能性あり)。特別にエンコードした実行ファイル処理に関与する、整数のオーバーフロー問題がClamAVにはある(注:[MEW]の、実行可能なまま圧縮するソフト(別名パッカー)でエンコードしたPE実行ファイル)。攻撃者はClamAVで保護されているサーバーに、細工した実行ファイル入りのメールを送信すると、脆弱性を悪用してClamAVをクラッシュさせたり、悪性のコードをユーザーのClamAVサーバーで実行したりすることができる。攻撃者のコードはClamAVプロセスと同等の権限を獲得した上で実行される。このプロセスがルートとして実行された場合、攻撃者はユーザーのサーバーを完全にコントロールできるようになる。
ウォッチガードが実施しているClamAVエンジンに、この脆弱なコードはないことからウォッチガードのGAV製品は、このセキュリティ問題において脆弱ではない。
【対策】
ClamAVサーバーを管理していたり、何らかのLinuxやClamAVを実施するディバイスを使用している場合は、都合が付き次第ClamAVバージョン0.92にアップグレード(日本語版)することをすすめる。
GAVユーザー:
ここで説明したClamAVセキュリティ問題において、ウォッチガードのGAV製品に問題はない。ウォッチガード・システム・マネージャー(WSM)バージョン9.1より、弊社ではGAV/IPSでのClamAVエンジンを使用していない。ClamAVエンジンのレガシー実装においても、この欠陥による問題はない。とはいえ、最新のGAVエンジン・バージョンを取り入れていることを確かにするためにも、WSMバージョン9.1をダウンロードし、インストールしておくことをすすめる。
【ステータス】
Clamプロジェクトは、これらの脆弱性を修正する新たなエンジン(0.92)をリリースしている。
【参考資料】
iDefenseによるClamAVセキュリティ問題に関するアラート(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
この件に関するさらなる質問や、ウォッチガード社製品のセキュリティに関する懸念がある場合は、スティーブ・ファリンまでご連絡ください。
Steve Fallin (スティーブ・ファリン)
ラピッド・リスポンス・チーム、ディレクター
ウォッチガード・テクノロジーズ社
電子メール:steve.fallin@watchguard.com
電話:(米国)+206.521.8340
危険度:中
日付:2007年12月18日
対象
・ClamAV 0.91.2(それ以前のバージョンも対象となる可能性あり)。
悪用法
・細工したメールの添付ファイルを送信。
影響
・攻撃者はユーザーのClamAVサーバーやディバイスで、ClamAVプロセスの権限を獲得した状態でコードを実行。
対策
・都合が付き次第ClamAVバージョン0.92をインストールすること。
【問題の詳細】
ウォッチガード・システム・マネージャー(WSM)のバージョン9.1がリリースされる以前、弊社の(GAV/IPS)や(GAV for E-mail)は、評判の良いClamAVエンジンを使ってメールの添付ファイルに潜むウィルスやワーム検出していた。(GAV for E-mail)では、まだClamAVエンジンを使用しているが、(GAV/IPS)においてはClamAVエンジンの使用をやめている。しかし、その他の様々なLinuxやゲートウェイ・ディバイスは、その製品群にClamAVを取り入れている。
米国時間の12月18日にiDefenseがリリースしたセキュリティ・アドバイザリー(英語)は、ClamAV バージョン0.91.2に関するセキュリティ問題について説明している(それ以前のバージョンも対象となる可能性あり)。特別にエンコードした実行ファイル処理に関与する、整数のオーバーフロー問題がClamAVにはある(注:[MEW]の、実行可能なまま圧縮するソフト(別名パッカー)でエンコードしたPE実行ファイル)。攻撃者はClamAVで保護されているサーバーに、細工した実行ファイル入りのメールを送信すると、脆弱性を悪用してClamAVをクラッシュさせたり、悪性のコードをユーザーのClamAVサーバーで実行したりすることができる。攻撃者のコードはClamAVプロセスと同等の権限を獲得した上で実行される。このプロセスがルートとして実行された場合、攻撃者はユーザーのサーバーを完全にコントロールできるようになる。
ウォッチガードが実施しているClamAVエンジンに、この脆弱なコードはないことからウォッチガードのGAV製品は、このセキュリティ問題において脆弱ではない。
【対策】
ClamAVサーバーを管理していたり、何らかのLinuxやClamAVを実施するディバイスを使用している場合は、都合が付き次第ClamAVバージョン0.92にアップグレード(日本語版)することをすすめる。
GAVユーザー:
ここで説明したClamAVセキュリティ問題において、ウォッチガードのGAV製品に問題はない。ウォッチガード・システム・マネージャー(WSM)バージョン9.1より、弊社ではGAV/IPSでのClamAVエンジンを使用していない。ClamAVエンジンのレガシー実装においても、この欠陥による問題はない。とはいえ、最新のGAVエンジン・バージョンを取り入れていることを確かにするためにも、WSMバージョン9.1をダウンロードし、インストールしておくことをすすめる。
【ステータス】
Clamプロジェクトは、これらの脆弱性を修正する新たなエンジン(0.92)をリリースしている。
【参考資料】
iDefenseによるClamAVセキュリティ問題に関するアラート(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
この件に関するさらなる質問や、ウォッチガード社製品のセキュリティに関する懸念がある場合は、スティーブ・ファリンまでご連絡ください。
Steve Fallin (スティーブ・ファリン)
ラピッド・リスポンス・チーム、ディレクター
ウォッチガード・テクノロジーズ社
電子メール:steve.fallin@watchguard.com
電話:(米国)+206.521.8340