ValiCert社から最新版EVAは複数のバグを修正済み

国際海外情報

2001年12月6日（木） 12時00分

　Valicert社の最新版の企業用バリデーションアプリケーション(Enterprise Validation Authority(EVA))で発見されている複数のバグに対して、同社より修正用のパッチが提供された。EVAは標準準拠 X.509をサポートする機能がある。主要コンポーネントの一部であるEVA Admin Server（管理サーバー）又はEVA User Interfaceはデフォルト設定でTCP ポート13333を監視する仕組みなっている。以下の管理機能も提供されている。
・ EVAホスト・サーバーの設定
・ EVAホスト・サーバーの開始/停止制御
・鍵およびライセンスの要求
・鍵の複製
・証明書を追加
・証明書の管理（修正、追加機能）
・拡張子の追加・設定
・ログの閲覧

　4つの脆弱性がAdmin Serverで使用されるCGIスクリプト内で発見されている。この４つの脆弱性は単なる情報収集からシステム障害を引き起こす悪戯まで幅広く悪用する事が可能とされている。

1. パス開示バグ:
　ValiCertは、CGIスクリプトforms.exeより新しい拡張子を客先のポリシーに基づき追加できる機能がある。例えば次のＵＲＬ
"http://targethost.com:13333/cgi-bin/forms.exe?extension=ldp&command=Add+Extension"は"ldp"の拡張子を追加する。もし、"ldp"のかわりに"bogus"の如く無効の拡張子を先のURLに要求するとAdmin Serverがエラーメッセージを送るが、その際にValiCertのインストレーションにつながるパス情報が一緒に送られてしまう。

　　要求されたロケーションに以下のInput/Configurationファイルが見つかりません。

FILENAME=bogus
LOCATION= D:Program FilesValiCertEnterpriseVAentserv

もう一度ファイルの場所を確認の上、再試行して下さい。

2. クロス・サイトスクリプトのバグ:
　Admin Serverが入力値検証を行わない為、ValiCert管理用インターフェースでの証明書の発行においてクロス・サイトスクリプトに関連する問題がある。例えば、攻撃者が証明書を生成する際にHTMLコードを含む組織名をを含ませる事ができる。証明書の表示と同時にこのコードを含む個所は実行される。証明書がAdmin Serverを通して閲覧される場合にHTMLコードによってダイアログ・ボックスを表示する事が出来る。ボックスはユーザーパスワードを入力するように誘導する事が出来る。取得したユーザパスワードを利用して他の攻撃を仕掛ける事が可能になる。信任状付きの証明書を発行権限のみ有効であるというAdmin Serverのパスワード設定がされていれば利用は制限される。

3. " ランダム " キーの生成:
/dev/urandomが存在する場合、ValiCertは鍵や証明書の発行に使用する。"entropy pool running low,"になると/dev/urandom機能は一部の攻撃に対して脆弱になる。これは/urandomにブロッキング機能が備わっていない為である。

　ラント()ファンクション使用時に、ValiCertは任意にハードウェア・セキュリティ・モジュール(HSM)とのコミュニケーション用のトークンを生成する。トークン生成の際、ファンクションはシステム時計を利用するが乱数生成におけるシステム時計の使用は、一定の法則が現れ易く推測が容易になるので適切でない。

4. 複数のバッファー・オーバフロー:
　forms.exe CGIスクリプトへ送られるパラメーターで14個のバッファー・オーバフローが発見されている。４つのバグのうちどれを利用しても、システム特権を備えた無許可のコード実行を許可する。バッファー・オーバフローに関する情報はhttp://www.nmrc.org/advise/valicert1.txt. , Mobile Research Centre(モバイルリサーチセンター)のウェブサイトで入手可能。

情報ソース：
ValiCert Inc. Nov. 28, 2001
http://www.valicert.com/support/security_advisory_eva.html),
Nomad Mobile Research Centre Dec. 04, 2001
http://www.nmrc.org/advise/valicert1.txt

分析：
　下記の符号は上記記載のそれぞれの脆弱性に該当する:

1. 個々のバグ単体では悪用しても被害を受ける危険度は決して高くない。しかしながら、他のバグや攻撃手法との複合（例えばディレクトリートラバーサル攻撃）の場合は重要機密の漏洩や他の攻撃を仕掛ける為に必要な有用なシステム情報を収集できる。

2. クロスサイトスクリプティング(CSS)の脆弱性と危険性に関してはカーネギーメロン大学のCERTより本年の２月に発表されている。(http://www.cert.org/advisories/CA-2000-02.html) HTMLを利用するアプリケーションの多さにより、CSS攻撃は重要なセキュリティ問題である。HTMLに悪意のコードを埋め込むによって、攻撃者はウィルス繁殖や重要なデータ類へのアクセス権限取得などをリモートより実行可能となる。

3. HSMの接続の際生成されるランダムキーに関する問題ではValiCertの知識がなくても攻撃側は推測することができる。実際の攻撃の規模は攻撃者が取得できる権限範囲や攻撃の意図による。

4. バッファーオバーフローの脆弱性の利用は、バッファー中のスクリプトの静的に割り付けをオーバーランさせ、Admin Serverが任意のコードの受け入れに対して脆弱にする。

検知方法：
　下記のプラットフォーム上で作動するValiCert社法人用バリデーションバージョン3.3〜4.2.1が脆弱性の対象。

・ Windows NT Server 4.0
・ Windows NT 4.0 with Service Pack 6a
・ Windows 2000 Server
・ Solaris 2.6 through 2.8
・ AIX 4.3.3
・ HP-UX 11.0

暫定処置：
　ファイアウォールでTCP13333ポートを制御する。リモート管理が必要な場合は、管理上のSSLを使用すると良い。また、 ValiCert社からEVA顧客には"ValiCert Enterprise VA Installation and Configuration Guide"の添付資料 "Appendix A: Security Recommendations"を参照する事を推奨している。

ベンダー情報：
　報告によると、EVA 4.2.2が全てのバグの修正を含んでいる。顧客は　support@valicert.com にコンタクトすれば入手できる。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【20:41 GMT、12、04、2001】

《ScanNetSecurity》