APC セキュリティ勧告 - PowerChute Network ShutdownのWebインターフェイスがHTTPのみをサポートする
|
|
要 約
|
この文書では、「APC セキュリティ勧告 - PowerChute Network ShutdownのWebインターフェイスがHTTPのみをサポートする」について記述しています。
|
|
内 容
|
APC セキュリティ勧告 - PowerChute Network ShutdownのWebインターフェイスがHTTPのみをサポートする
【問題の概要】
PowerChute Network ShutdownのWebインターフェイスは、暗号化された安全なプロトコルではないHTTP経由でのアクセスのみをサポートしています。HTTP1.1認証を使用してユーザ認証をおこなっていますが、パスワードについてはBase64エンコードされたプレーンテキストで、ログイン時にユーザのブラウザからサーバに送信されます。ログイン成功後についても、ユーザのブラウザとサーバ間の全てのデータ送信はプレーンテキストです。PowerChute Network Shutdownには暗号化された安全なWebアクセスを有効にするオプションはありません。更に、PowerChute Network ShutdownはWebインターフェイスにログイン可能な数に制限を設けておらず、ロックアウトされる期間や通知機能も備えていません。
【緊急度】
重要
【対象製品】
PowerChute Network Shutdown v2.2.1以前のバージョン
【軽減要因】
1. 一般的に、PowerChute Network Shutdownがインストールされたサーバは、保護された企業LANに属している為、最低限の保護が与えられています。
2. 多くのネットワークで使用するレイヤ2及び3スイッチはブラウザとサーバ間のネットワークトラフィックのキャプチャを困難にしています。
【推奨する対処方法】
1. PowerChute Network Shutdownへのログインは下記のみを使用する
http://localhost:3052
PowerChute Network Shutdownがインストールされているサーバと同一のサーバ上のブラウザ使用し、Webインターフェイスにアクセスする。これによりネットワーク上への信号の送信がなくなり、パスワードがスヌープされる危険性をなくします。
2. リモートからのTCPポート3052への全てのアクセスをブロックするようにローカルのファイアウォールを設定する。
この設定を1.と組み合わせることで全てのリモートユーザからPowerChute Network Shutdownへのアクセスを制限することができます。
3. Webインターフェイスを無効にする(PCNS v2.2.xのみ)
Webインターフェイスを無効にすることで他のユーザによる外部からのWebインターフェイス経由でのアクセスを制限することができます。ですが、PowerChute Network Shutdown のWebインターフェイスはステータスやログの確認、及び設定変更の為に必要な為、APCは上記の方法は推奨しておりません。下記の方法によりWebインターフェイスを無効にすることが可能です:
1. PowerChute Network Shutdownをインストールする
2. PowerChute Network Shutdownに必要に応じて設定を行う
3. PowerChute Network Shutdownのサービスを停止する(PowerChuteNetShut)
4. PowerChute Network Shutdownのインストールディレクトリに存在するcomps.m11ファイルのコピーを保存した後、APCから提供されるcomps.m11ファイルと置き換える
この置き換え用のcomps.m11ファイルを入手するにはEmailもしくはお電話にてAPCカスタマサポートへご連絡して頂く必要があります。その際に「AnswerID:7330の件」ということと、「お客様のご使用のUPSが冗長構成か否か」の2点をお知らせください。適切なcomps.m11ファイルをご提供させて頂きます。
5.サービスを再起動する
6.Webインターフェイスはアクセス不可となっております
7.Webインターフェイスに再度アクセスするには、comps.m11ファイルを元のcomps.m11ファイルに戻し、サービスを再起動してください
【情報開示と一般公開】
APCは、本勧告に記載されている脆弱性が悪用された事例は認識しておりません。この脆弱性は、James Gaffney により発見されました。
本告知のステータス: アクティブ
本勧告はアクティブです。APCは本勧告の全内容の正確性を保証はできませんが、全ての情報は弊社の可能な限り確認済みです。 APCは事実に重要な変更がない限り、本勧告の更新を行う予定はありません。事実に重要な変更がある場合は、本勧告の更新を行う場合があります。本セキュリティ勧告のスタンドアロンコピーまたはパラフレーズは、 APCの関知しないコピーであり、重要な情報や事実が欠けていたり、事実誤認が含まれている場合があります。
APC、その役員、取締役、関係者又は従業員は、ここに記載されている情報の使用又は実行に伴い生ずる損失等、特別損害、間接損害、偶発的損害又は結果損害については、損害の態様又は責任の根拠を問わず、契約責任、法定責任又は不法行為責任(過失責任を含む)等の請求の理由を問わず、APCが損害の可能性について認知していたか否かに関わらず、かつ、法的救済方法によっても損害を補填されていない場合であっても、責任を負いません。
本ウェブサイトからダウンロード可能なソフトウェアは、APC及び/又はその提供者の著作物であり、無保証で提供されるものです。ライセンス契約に基づいて保証される場合を除き、明示、黙示、法定を問わず、市場性、特定目的適合性、所有権及び権利侵害の不存在の保証及び条件を含む、APCは当該ソフトウェアに関する保証及び条件を全て放棄します。
【配布】
この勧告および今後の更新はAPCのウェブサイトに掲載される予定です。
【レビジョン】
Revision 1.0
Initial Public Release
【参考資料】
なし
【著作権】
This notice is Copyright c 2005 by American Power Conversion Corporation.本通知は、完全で変更が加えられることなく、かつ、全ての日付とバージョン情報が含むことを条件に、再配布可能です。
|
|
|
前のページに戻る
|
|