VMware vCenter Update Manager の Jetty に起因するディレクトリトラバーサルの脆弱性（Scan Tech Report）

1.概要

脆弱性と脅威エクスプロイト

2011.11.30 Wed 8:00

1.概要
VMware vCenter Update Manager の Jetty に、ディレクトリトラバーサルの脆弱性が報告されました。

リモートの第三者に利用された場合、システム上の重要な情報を不正に取得される可能性があります。
この脆弱性は、Alexey Sintsov 氏が 2010/6/6 に発見し VMware が 2011/11/17にセキュリティアドバイザリと共に解消バージョンを公開した問題になります。
さらなる攻撃に悪用される可能性があるため、対象のユーザは可能な限り以下の対策を実施することを推奨します。

2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-4404&vector=%28AV%3AN/AC%3AL/Au%3AN/C%3AP/I%3AN/A%3AN%29

3.影響を受けるソフトウェア
VMware vCenter Update Manager 4.0 Update 3 以前
VMware vCenter Update Manager 4.1 Update 1 以前

4.解説
VMware vCenter Update Manager (VUM) は、VMware ESX/ESXi のアップグレード、あるいはゲスト OS のパッチレベルを自動的に管理することが可能なソフトウェアであり、VMware vCenter Server と共にパッケージ化されています。

この VUM に同梱される Web サーバ Jetty には、"..\" を含む HTTP リクエストの取り扱いに不備が存在するため、ディレクトリトラバーサル攻撃が可能な脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、公開を意図しないシステム上の任意のファイルへアクセスし、重要な情報を取得可能となります。

この脆弱性については、2009 年春に報告された Jetty に存在するディレクトリトラバーサルの脆弱性 (CVE-2009-1523) と類似する可能性があることが報告されています。なお、当該脆弱性は、Jetty 5.1.15/6.1.18/7.0.0.M2 において解消されています。
詳細については、以下の Web サイトを参照下さい。

Common Vulnerabilities Exposures (CVE) CVE-2009-1523:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1523
Jetty Security Reports CERT402580:
http://docs.codehaus.org/display/JETTY/Jetty+Security
US-CERT Vulnerability Note VU#402580:
http://www.kb.cert.org/vuls/id/402580

5.対策
（Web非公開）

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《吉澤亨史（ Kouji Yoshizawa ）》