公開日:2016/05/27 最終更新日:2016/05/27

JVNVU#97365498
Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントに認証欠如の問題

概要

Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントには、ユーザがシステム内の任意のファイルを参照可能な問題が存在します。

影響を受けるシステム

  • Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェント Version 7.5 および 7.6

詳細情報

重要な機能に対する認証の欠如 (CWE-306) - CVE-2015-8268
研究者は「Linux 向けの uptime.agent version 7.5 が読み出し権限を持つ任意のファイルをリモートから認証なしで取得できる」と述べています。開発者は、version 7.5 および 7.6 がこの問題の影響を受けることを確認しています。

関連する脆弱性情報が JVNVU#99135508 で報告されています。

想定される影響

遠隔の第三者によって、当該製品が動作しているシステム上の任意のファイルを取得される可能性があります。

対策方法

アップデートする
開発者は本脆弱性を修正した Uptime Infrastructure Monitor Version 7.7 をリリースしています。
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、アップデートのほかに、影響回避のための設定について次のように述べています。

  1. All agents run in a read only mode by default, where they can only poll metrics.
    (エージェントはデフォルトで読み取り専用になっており、ポーリングのみ可能です。)
  2. In order to use custom scripts or trigger recovery actions, you need to set a password on the agent, or add commands to the .uptmpasswd file for the linux agent.
    (カスタムスクリプトを使用したりリカバリ動作を指示したりしたい場合は、エージェントにパスワードを設定するか、Linux 向けエージェントでは .uptmpasswd ファイルへコマンドを追加してください。)
  3. Agents communication can be encrypted with SSL by using various SSL Tunneling/Proxy Utilities (openSSL, etc). KB articles cover the specifics for implementing with Stunnel on various platforms.
    (エージェントの通信は OpenSSL など様々なトンネリング / プロキシ用ツールを使って暗号化することが可能です。Securing the Linux agent (tcpwrappers and ssl) では、様々なプラットフォームで stunnel を使って設定する場合の詳細が説明されています。)
  4. Agents running under xinet.d can also be secured at the service level by restricting incoming connections to only accept connections from the Monitoring Station, or limit the total number of connections, etc.
    (エージェントが xinet.d 下で動作する場合も、Monitoring Station 以外からの通信の制限、同時接続数の制限などを行うことができます。)
  5. Disable Agent Commands you don't use either via the Agent Console or editing conf/agent_commands.txt.
    (使用しない Agent Command については、Agent Console からの設定または conf/agent_commands.txt を直接編集することで、無効化してください。)

参考情報

  1. CERT/CC Vulnerability Note VU#204232
    Up.time agent for Linux does not authenticate a user before allowing read access to the file system

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
基本値: 7.5
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:N/A:N
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-8268
JVN iPedia