 |
≫ |
|
|
|
HP SECURITY BULLETIN
HPSBUX01070 REVISION: 0
SSRT4779 HP-UX Netscape NSS Library Suite SSLv2リモートバッファオーバーフロー
注意: 本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
以下のセキュリティ報告情報に従って、できるだけ速やかに処置してください。
初期リリース: 2004年8月23日
潜在的セキュリティ被害: リモートバッファオーバーフローおよび任意コード実行
発信元: HEWLETT-PACKARD COMPANY
HP Software Security Response Team
リファレンス: http://xforce.iss.net/xforce/alerts/id/180
脆弱性サマリ:
HP-UX上で動作するSSLv2 cipherを使ったNetwork Security Services (NSS)ライブラリスイートで
潜在的なセキュリティ脆弱性が確認されています。バッファオーバーフローがリモートで展開
され、NSSライブラリの脆弱バージョンをインプリメントする製品またはサービスに対して任意
コードの実行またはサービス拒否が生成される可能性があります。
サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。
NSSライブラリスイートを統合し、SSLv2 cipherを採用している製品またはアプリケーション
すべてに影響があります。
Netscape - Directory Server (NDS) - 現在サポートされているバージョン
Netscape - Administration Server (AS) - 現在サポートされているバージョン
背景:
本報告のPGP符号付きバージョンをリクエストするには、
security-alert@hp.comまでお問い合わせください。
Internet Security Systems, Inc. (ISS)は、Network Security Services(NSS)
ライブラリスイートのすべての既知リリースにおいて、バッファオーバーフロー
の脆弱性を報告しています。
http://xforce.iss.net/xforce/alerts/id/180
影響のあるバージョン
注意: システムに影響のあるバージョンがインストールされているか確認
するには、"swlist -a revision -l fileset"の出力から影響のある
ファイルセットを検索します。次に推奨パッチまたはアップデート
がインストールされているかを確認します。
HP-UX B.11.23
HP-UX B.11.11
HP-UX B.11.00
=============
AS 6.01および6.1がインストールされたバージョンNDS 6.02、6.11の場合
NetscapeDirSvr6.NDS-SLAPD
NetscapeDirSvr6.NDS-ADM
アクション: 解決策セクションに記載の手順にしたがう
AS 4.2がインストールされたバージョンNDS 4.16の場合
NscapeDir40SrvUS.DirectoryServer
NscapeDir40SrvUS.AdminServer
アクション: NDS 6.11へアップグレード
影響のあるバージョン終わり
注意: NDSバージョン4.16をまだご使用の場合、HPはバージョン6.11以降へアップグレード
し、ここでの推奨事項にしたがうことをお勧めします。
本報告は新しいNDSリリースが入手可能になった時点で更新します。
解決策:
すべてのSSLv2 cipherスイートを無効にすると、これらの脆弱性を効果的に軽減します。
注意: SSLv2を無効にするだけでは、攻撃に対して完全に保護されません。
すべてのSSLv2 cipherスイートを明示的に無効にして、この軽減を実現してください。
Netscape Directory Server (NDS) および Administration Server (AS)において
SSLv2 cipherスイートを無効する手順は以下で説明します。
A. Netscape Directory Server (NDS)
これらの変更は、Netscape Directory Serverバージョン6.02および6.11に適用します。
1. NDSを停止します。
2. /var/opt/netscape/servers/slapd-{instance}/config/dse.ldif ファイルをエディタで
開きます。
3. "dn:cn=encryption,cn=config"エントリ内のSSLv2 cipherをすべてを無効にします。
これを実現するには、以下を"nsSSL3ciphers"属性のコンマで区切られたcipherリストに
追加します。
-rc4
-rc4export
-rc2
-rc2export
-des
-desede3
"nsSSL3ciphers"を修正してNetscape Directory Serverにこれらのcipherをサポートしないよう
伝えるために属性を無効にする際は、各cipherの前にマイナスサインを含むことが重要です。
たとえば、正しいcipherを持ったnsSSL3ciphers属性は無効になります。
nsSSL3Ciphers:
-rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc4_40_md5,+rsa_rc2_40_md5,
+rsa_des_sha,+rsa_fips_des_sha,+rsa_3des_sha,+rsa_fips_3des_sha,
+fortezza,+fortezza_rc4_128_sha,+fortezza_null,
+tls_rsa_export1024_with_rc4_56_sha,+tls_rsa_export1024_with_des_cbc_sha,
-rc4,-rc4export,-rc2,-rc2export,-des,-desede3
3. NDSを開始します。
注意: cipher設定の修正をDirectory Server Consoleを通して行った場合、以前手動で追加
したエントリはすべて失われ、dse.ldifファイルの修正プロセスが再度必要になります。
B. Administration Server (AS)
adminサーバコンソールを介してのSSLv2を無効にする方法:
1. adminサーバコンソールにログインします。
2. Administration Serverを選択します。
3. Configuration tabを選択します。
4. Encryption Tabを選択します。
5. Cipher Settingsボタンをクリックします。
6. SSL 2.0ラブ tab内のすべてのcipherのチェックをはずします。
7. Okをクリックし、Saveをクリックします。
8. サーバを再起動します。
構成ファイルを介してのSSLv2を手動で無効にする方法:
1. サーバを停止します。
2. /var/opt/netscape/servers/admin-serv/config/server.xmlを編集します。
a. SSLPARAMSエレメント内に、SSLv2属性があります。これを"off"にします。
b. すべてのSSLv2 cipherも無効にするには、ssl2ciphers属性内で、リストされる
cipherすべてに対して"+"を"-"で置き換えます。
例:
ssl2ciphers="-rc4,-rc4export,-rc2,-rc2export,-des,-desede3" ssl3="on"
ssl3tlsciphers="+rsa_rc4_128_md5,+rsa_3des_sha,+rsa_des_sha,+rsa_rc4_40_md5,+rsa_rc2_40_md5,-rsa_null_md5"
3. /var/opt/netscape/servers/admin-serv/config/local.confを編集します。
a. configuration.encryption.nsSSL2属性内で、値を"off"にします。
b. すべてのSSLv2 cipherも無効にするには、configuration.encryption.nsSSL2Ciphers
属性内で、リストされるcipherすべてに対して"+"を"-"で置き換えます。
例:
configuration.encryption.nsSSL2: off
configuration.encryption.nsSSL3: on
configuration.encryption.nsSSL2Ciphers: -desede3,-des,-rc4,-rc2,-rc4export,-rc2export
configuration.encryption.nsSSL3Ciphers: +fips_3des_sha,+rsa_des_sha,
-rsa_null_md5,+rsa_rc4_128_md5,+rsa_rc2_40_md5,+fips_des_sha,
+rsa_rc4_40_md5,+rsa_3des_sha
4. サーバを起動します。
手作業: はい - アップデートなし
Netscape Directory Server (NDS) 4.16の場合、6.11へアップグレードし本報告の解決策
セクション内の手順にしたがってください。
Netscape Directory Server (NDS) 6.02および6.11の場合、本報告の解決策セクション内
の手順にしたがってください。
Administration Server (AS) 4.2の場合、6.01または6.1へアップグレードし本報告の解決
策セクション内の手順にしたがってください。
Administration Server (AS) 6.01および6.1の場合、本報告の解決策セクション内の手順
にしたがってください。
BULLETIN改訂履歴:
改訂0 - 2004年8月19日
初期リリース
* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault
サポート: さらなる情報については、HPサービスサポートチャネルへお問
い合わせください。
購読: HP Security BulletinsをEmailにて定期受信を開始するには、以下
へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC
Driver and Support Alerts/Notifications Sign-up: Product Selectionページ上の
Step 1: your productsで、以下のように登録します。
1. product categoryを選択:
- 少なくとも"servers"を選択する必要があります。
2. product familyを選択または検索:
- 少なくとも1つの製品を選択する必要があります。
3. 製品を追加:
- 少なくとも1つの製品を追加する必要があります。
Step 2: your operating system(s)で、
- アラートを必要とするオペレテーィングシステムすべてをチェックします。
フォームを完成させ"Save"をクリックします。
既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php
Subscriber's choice for Business: sign-inページでログインします。
Subscriber's Choice: your profile summaryページのEdit Profileから
該当するセクションを更新します。
注意:選択したオペレーティングシステム/製品用の個々のalerts/notifications
に加え、自動的に非オペレーティングシステムカテゴリ用のalertsの1コピー
を受信します。(6つの全オペレーティングシステムalertsにサインアップした
方は非オペレーティングシステムalertsの1コピーのみを受け取ります。)
HP-UX SPECIFIC SECURITY BULLETINS*:
以前発行されたSecurity Bulletins for HP-UXは以下で参照できます。
http://itrc.hp.com/cki/bin/doc.pl/screen=ckiSecurityBulletin
HP-UX Security Patch Matrixは以下で参照できます。
http://itrc.hp.com/service/cki/docDisplay.do?docId=hpuxSecurityMatrix
または、anonymous ftpでもご覧いただけます。
ftp://ftp.itrc.hp.com/export/patches/hp-ux_patch_matrix/
HP-UX Security Patch Matrixは毎日更新され、プラットフォーム/OSリリース
ごと、そしてBulletinトピックごとにセキュリティパッチを分類します。
Security Patch Checkツールは、HP-UX 11.XXバージョン用Security Patch Matrix
のレビュープロセスを完全に自動化します。注意: HP-UX Security Patch Matrixに
リストされているパッチのインストールは、Security Bulletin内の"手作業"フィー
ルドが"なし"の場合のみ、解決策を完全にインプリします。
Security Patch Checkツールはまた、Security Bulletinの解決策がHP-UX 11.XX
バージョン上でインプリされているかも検証します("手作業"フィールドが"なし"
の場合)。Security Patch Checkツールは製品アップグレード経由でインストール
したパッチの検証は行いません。
Security Patch Checkツールの詳細は、次のWebサイトをご覧ください。
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/
displayProductInfo.pl?productNumber=B6834AA
レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性
をレポートするには、security-alert@hp.comへemailをお送りください。
セキュリティ関連情報をHPに連絡する際はPGPを使用して暗号化することを
強く推奨します(特に開発情報)。セキュリティ-アラートPGPキーを入手する
には、件名に「get key」(括弧なし)を入れて、security-alert@hp.comまで
emailをお送りください。
システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。
「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」
------------------------------------------------------------------
(c) Copyright 2004 Hewlett-Packard Company
Hewlett-Packard Companyは、ここに含まれている技術上または編集上のエ
ラー、もしくは省略などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。
|
