JVNVU#90224037
HP ArcSight Logger に複数の脆弱性

HP ArcSight Logger には、認証回避や権限昇格を引き起こす複数の脆弱性が存在します。

• ArcSight Logger 6.0.0.7307.1
• ArcSight Command Center 6.8.0.1896.0
• ArcSight Connector Appliance 6.4.0.6881.3

別のパスやチャンネルを介した認証回避 (CWE-288) - CVE-2015-2136
Logger Search パーミッションを持たない当該製品のユーザは、SOAP インターフェースを使用することで認証を回避し、検索機能を使用することが可能です。
本脆弱性は ArcSight Logger 6.0.0.7307.1 で報告されており、その他のバージョンも影響を受ける可能性があるとのことです。

認証試行回数の制限不備 (CWE-307) - CVE-2015-6029
SOAP インターフェース経由でログインに失敗しても、通常のウェブインターフェース経由と異なり、試行回数が記録されず、ロックもされません。これにより遠隔の攻撃者はアラートを出すことなくブルートフォース攻撃を実行することが可能となります。
本脆弱性は ArcSight Logger 6.0.0.7307.1 で報告されており、その他のバージョンも影響を受ける可能性があるとのことです。

不適切な権限分離 (CWE-653) - CVE-2015-6030
ArcSight におけるいくつかの重要なファイルは、ユーザアカウント arcsight を所有者としていますが、root 権限で実行されます。これによりユーザ arcsight は、root 権限でコマンドを実行することが可能となります。
本脆弱性は ArcSight Logger 6.0.0.7307.1、ArcSight Command Center 6.8.0.1896.0 および ArcSight Connector Appliance 6.4.0.6881.3 で報告されており、その他のバージョンも影響を受ける可能性があるとのことです。また、UNIX 系システム向けの ArcSight SmartConnector も本脆弱性の影響を受ける可能性があるとのことです。

CVE-2015-6030 の潜在的な影響は深刻ですが、ユーザアカウント arcsight は管理者のみが使用するもののように見えるため、深刻度は低いと想定しています。ユーザアカウント arcsight の取得について新たな情報が得られた場合は、この影響を更新する可能性があります。

Logger Search パーミッションを持たない当該製品のユーザによって、検索機能を実行される可能性があります。遠隔の第三者によって、ブルートフォース攻撃を実行される可能性があります。ユーザ arcsight によって、root 権限でコマンドを実行される可能性があります。

アップデートする
HP は CVE-2015-2136 を修正した ArcSight Logger v6.0 P2 をリリースしています。
HP が提供する情報をもとに、最新版へアップデートしてください。

HP はすべてのサポート対象製品に存在するその他の脆弱性を修正するためのアップデートを準備しており、2015年11月中に対応を完了する予定とのことです。
これらの対応が完了するまで、ユーザアカウント arcsight の使用を制限したり、ブルートフォース攻撃を検知するためにネットワーク監視を導入したりすることを検討してください。