Express5800/VirusCheckServer

SNMP脆弱性問題(CA-2002-03)について

セキュリティホールの内容について
SNMPの脆弱性についてCERT Advisoryが発行されています。SNMPを使用している機器で、 DoS攻撃を受けたり、バッファオーバーフローにより管理権限が盗まれる危険性が あるということです。詳細につきましては、CERT Advisory 本文をご確認ください。

http://www.cert.org/advisories/CA-2002-03.html

VirusCheckServerの場合、ウイルスチェックソフトウェアである、InterScan VirusWall には、 本セキュリティホールは存在しません。ただし、ESMPROとの連携のため、 snmpd を起動しており、このデーモンが、本セキュリティホールを抱えています。 このため下記の対策の実施が必要です。


対策
本件に対する対策として、OSベンダからパッチが発行されています。 また、ESMPRO担当グループから、対応するESMPRO/SAのパッチが発行されています。 これらのパッチの適用を実施してください。

パッチの入手

以下のファイルを用意(ダウンロード)してください。 入手したパッチをVirusCheckServerの /tmp においてください。

OS関連パッチ

ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/6.1/ja/updates/RPMS/popt-1.5-17.i386.rpm
http://www.turbolinux.co.jp/security/ucd-snmp-4.2.3-1.html

ESMPROパッチ

http://www.express.nec.co.jp/dload/Security/010086.html

適用手順

以下の手順でパッチを適用します。 全て root ユーザで実行してください。 また、上記パッチファイルが /tmp に置かれていることを前提としています。 
   1. snmpd を停止
        # /etc/rc.d/init.d/snmpd stop

   2. snmpd の設定ファイルをバックアップ
        # cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.bak

   3. OS関連のパッチをインストール
     3.1 依存パッケージをインストール
        # rpm -Uvh popt-1.5-17.i386.rpm

     3.2 snmpをバージョンアップする
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-4.2.3-1.i386.rpm
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-devel-4.2.3-1.i386.rpm
        # rpm -Uvh --force --nodeps /tmp/ucd-snmp-utils-4.2.3-1.i386.rpm

   4. ESMPRO/SA のパッチを適用
      以下のリリースノートの 3-3、3-4 を実行してください。
        http://www.express.nec.co.jp/dload/Security/release.txt

   5. 再起動をする
        # shutdown -r now


セキュリティホール回避策
パッチを適用できない場合、 SNMPサービスを停止することによりセキュリティホールを突く攻撃を回避するようにしてください。
回避策を実施した場合、以下の影響があります。

  • LAN監視ができなくなります。
  • ローカルポーリングができなくなります。
  • SNMP手段によるESMPRO/SMへの障害通報ができなくなります。
  • ESMPRO/SMからの状態監視ができなくなります。



- 以上 -