|
 |
|
ISS技術情報 お客様各位 |
|
| 2002年 7月 8日 東京都新宿区北新宿3−1−16 第2事業本部 セキュリティ営業部 |
|
| 以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。 |
|
RealSecure 6.× Network Sensor for Solaris XPU4.2/4.3/4.4の障害について |
|
| 現象: RS6.5、6.0ネットワークセンサーで、XPU4.2/4.3/4.4を適用したセンサーにて、センサースタート数時間〜数日でセンサープログラム本体がCORE ダンプして落ちてしまう障害が発生しております。 XPU4.2、4.3、4.4におきまして以下のようなそれぞれの現象においてCORE ダンプすることが確認されましたのでご案内申し上げます。 1.「XPU4.2における既知の問題」について DHCP関連のシグネチャにおきまして、不具合の危険性があることが確認されております。 2.「XPU4.2およびXPU4.3共通の障害」について HTTP_IIS3_ASP_DOT シグネチャにてCOREダンプしてしまう問題が発生しました。 3.「XPU4.4における障害」について XPU4.4で新たにother グループにある SQL_Spida_WormシグネチャにてCOREダンプでセンサーが落ちてしまう問題が確認されました。 環境: 今回の障害が報告されている環境は下記の通りです。 Sensor:RS 6.5 および6.0 Network Sensor Solaris版 XPU:4.2以上 OS: Solaris2.6,7(32bitモード,64bitモード両方),8(32bitモード,64bitモード両方) 各問題の現象: 1.「XPU4.2の問題」について 以下のURLにおける記載の内容です。 http://www.isskk.co.jp/support/techinfo/general/advise116j_xforce.html 2.「XPU4.2およびXPU4.3共通の障害」について XPU4.2でHTTP_IIS_XXX_Evasion 関連のシグネチャのF/PまたはF/Nを減らすために内部の共通プログラムを改良しました(これはXPU4.2のリリースノートには載せておりません)。その結果 HTTP_IIS3_ASP_DOT シグネチャに問題が発生しました。このシグネチャをONにし、さらに以下の該当HTTPセグメント(パケット)がセンサーセグメントに流れるとセンサーがCOREダンプしてしまいます。 該当パケット: HTTPのGETメソッドの最初のセグメントで GET /&. や GET /ac.のように1文字または2文字+. (DOT)が含まれるパケットです。%20.のようにエンコードされた文字列もデコード後の文字数として計算します。(例%20=1スペース+.) 3.「XPU4.4における障害」について 詳細につきましては現在弊社内で調査/確認を継続しております。 今回発見されましたこの問題は、2.「XPU4.2およびXPU4.3共通の障害」で記述しておりますHTTP_IIS3_ASP_DOT問題とは関係ありません。このシグネチャの詳細は下記URLをご覧下さい。 http://www.isskk.co.jp/support/techinfo/general/SQL_SpidaWorm_xforce.html 対処方法: 1.「XPU4.2の問題」は、XPU4.3にて対応済みです。 2.「XPU4.2およびXPU4.3共通の障害」は、下記のPatchを適用していただくことで対応することができます。 3.「XPU4.4における障害」は、現在調査をすすめており、次期XPU5.1にて修正される予定です。次期XPUがリリースされるまで、下記の方法にて運用くださいますようお願いいたします。 @ XPU4.4まで適用してください。 A XPU4.4を適用後、Patchをダウンロードし適用してください。適用の際は、ファイル内のreadmeを必ずお読みいただき、readmeに沿って適用してください。 下記URLからPatchファイル名:xpu-4.4-patch.tar.gz (5,121,065バイト)をダウンロードしてください。 http://www.isskk.co.jp/download/SAFEsuite/RealSecure/xpu-4.4-patch.tar.gz (認証あり) パッチを当てる場合の注意点(パッチファイル内のreadme以外での補足説明) 1)パッチを当てる場合にはセンサーをストップしてください。 /etc/init.d/realsecure stop そして readmeのとおりファイルを入れ替えてください。 2)/etc/init.d/realsecure start でセンサーをスタートさせてください。 3)ポリシーを変更する/しない に関わらずポリシーをApplyしてください。 その後 センサー STOP/STARTを行ってください。 B パッチを適用後 次期XPUリリースまで、SQL_Spida_Worm シグネチャをOFFにして運用いただきますようお願い申し上げます。 ※尚、このシグネチャをはずすことで攻撃の検出ができなくなります。SQLサーバの sa アカウントに対するパスワード“なし”の運用は充分にご注意いただきますようお願いいたします。 今後の対応スケジュール: 上記に記述いたしました問題は、次期XPU5.1で修正される予定です。リリース時期は現時点明確ではございませんが、近日リリースの方向で作業を進めております。 |
|
以上 |
|
Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。 |