Blue Coat BCAAA の Windows サービスにおけるバッファオーバーフローの脆弱性(Scan Tech Report)
1.概要
Blue Coat BCAAA の Windows サービスに、バッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
リモートの第三者に悪用された場合、BCAAA を不正に停止される、あるいはシステム上で不正な操作を実行される可能性があります。
BCAAA の SSO 認証
脆弱性と脅威
エクスプロイト
Blue Coat BCAAA の Windows サービスに、バッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
リモートの第三者に悪用された場合、BCAAA を不正に停止される、あるいはシステム上で不正な操作を実行される可能性があります。
BCAAA の SSO 認証情報の同期機能が有効な環境では、深刻な影響を受ける可能性があるため、対象のユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし
3.影響を受けるソフトウェア
Blue Coat BCAAA ビルド 60258 より前のバージョン
※2011/4/21 より前にリリースされた ProxySG 4.2.3/4.3/5.2/5.3/5.4/5.5/6.1, ProxyOne に同梱される BCAAA は、この脆弱性の影響を受けます。
4.解説
ブルーコート認証/認可エージェント (BCAAA: Blue Coat Authentication and Authorization Agent) は、ProxySG アプライアンスと特定の認証方式 (IWA, Netegrity SiteMinder など) の間を仲介するソフトウェアエージェントであり、SGOS とは別のシステムにインストールする必要があります。
BCAAA をインストールした Windows サーバでは、BCAAA インスタンス間のシングルサインオン (SSO) 認証情報を同期するために、既定でポート (16102/tcp) を利用して通信を行います。
BCAAA の Windows サービス (bcaaa-130.exe) には、過度に大きなサイズの不正なパケットを処理した場合、バッファオーバーフローが発生する脆弱性が存在します。
リモートの攻撃者に悪用された場合、BCAAA がクラッシュしサービス不能状態に陥る、あるいは Local System 権限 (NT AUTHORITYSYSTEM) で任意のコードが実行可能となります。
この脆弱性は、SSO 認証情報の同期機能が有効な場合に影響を受ます。
なお、ProxySG 5.3.2.18 以降 (5.3.3.1 除く)、ProxySG 5.4.1.12 以降、ProxySG 5.5/6.1 以降に同梱される BCAAA においては、BCAAA をインストールした際に自動で当該機能が有効に設定されることが、Blue Coat 社より報告されています。
5.対策
(Web非公開)
6.ソースコード
(Web非公開)
(執筆:株式会社ラック コンピュータセキュリティ研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《ScanNetSecurity》