| 1. |
何百、何千ものマシンが配置されている非常に大規模な環境において、この脆弱性の影響を受けるマシンを確認するにはどうすればよいですか? |
| |
Unicenter Asset ManagementのApplication Definitionを最新版にアップデートします。ライセンスのバージョン情報を出力するレポートを設定することで、ライセンスの脆弱性を確認できます。
|
| 2. |
すでにインストールされているライセンスの上から最新版のライセンスをインストールすることはできますか? |
| |
はい。設計上、ライセンスには上位互換性があります。
|
| 3. |
このライセンスパッチを適用しアップグレードする前に、ライセンスシステムに依存する製品を停止させる必要はありますか? |
| |
いいえ。
|
| 4. |
ファイアウォールが原因でパッチをダウンロードできない場合はどうすればよいですか? |
| |
Windowsのサービス画面を使って「CA-License Client」というサービスが起動しているかどうかをチェックし、起動していればこれをダウンロードが可能になるまで、一時的に停止/無効にしておきます。これにより脆弱性の影響を回避することができます。
|
| 5. |
提供されているリンクや情報を見ても、ライセンスのバージョンが不明な場合はどうすればよいですか? |
| |
このような場合、システム上にインストールされているCAライセンスのバージョンが非常に古い可能性があります。このような古いバージョンへの脆弱性の影響はありません。念のため、Windowsのサービス画面を使って「CA-License Client」というサービスが起動しているかどうかをチェックし、起動していればこれを停止/無効にしておきます。
|
| 6. |
Unicenter NSMエージェント(Windows、UNIX、Linuxマシン)はライセンスシステムを必要としますか? |
| |
NSMエージェントの中にはライセンスシステムを必要としないものもありますが、同じシステムにインストールされている別のCA製品で必要となる場合があります。不明な場合は、以下のファイルをチェックして影響を受けるかどうかを判断してください。
lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2003年3月以前である場合、脆弱性の影響はありません。lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2005年1月以降である場合も、脆弱性の影響はありません。これらのファイルが見つからない場合、脆弱性の影響はありません。llic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2003年4月から2004年12月の間である場合、システムは脆弱性の影響を受けます。
デフォルトのライセンスディレクトリは以下のとおりです。
Windows: C:\CA_LIC または C:\Program Files\CA\SharedComponents\CA_LIC
UNIX/Linux/Mac: /opt/CA/ca_lic または /opt/CA/SharedComponents/ca_lic
|
| 7. |
Software Deliveryプログラムを使ってこのパッチを配布することはできますか? |
| |
はい。Software Deliveryを使用できます。
USD(Unicenter Software Delivery)パッケージは、こちらのFTPリンクからダウンロードできます。
ftp://ftp.ca.com/pub/License98/LicenseIT/lic98_v161/USD_Package/
ご注意:USD(Unicenter Software Delivery)製品ご利用のお客様が対象です。CAライセンスのUSDパッケージは、WindowsのSDRegister.exeを使ってソフトウェアパッケージを登録します。CAライセンスのUSDを使用したCAライセンスの登録、配布、インストールの方法については、USDパッケージに含まれているReadMe.doc(英語)ファイルをご覧ください。USDパッケージをまだダウンロードしていない場合は、以下のライセンスパッチダウンロード用リンクからライセンスパッケージをダウンロードした上で、USD経由でライセンスをインストールしてください。
http://supportconnectw.ca.com/public/reglic/downloads/licensepatch.asp#alp
|
| 8. |
この脆弱性はUAM(Unicenter Asset Management)で検出されますか? |
| |
はい。最新のUAM定義を使ってこの脆弱性を検出することができます。
|
| 9. |
企業ファイアウォールの外部でサーバを稼動させています。この脆弱性の影響を受けるポートはどれですか? |
| |
ファイアウォールの外部に配置されているサーバに対して、ポート10202、10203および10204を閉じておくことをお勧めします。
|
| 10. |
この脆弱性はメインフレーム製品に影響しますか? |
| |
メインフレーム(s/390)上でLinuxを稼動している場合のみ影響があります。CAのメインフレーム製品(Linux向け製品を除く)は、全く異なるライセンス体系を使用しています。影響を受けるメインフレームプラットフォームはLinux s/390のみです。
|
| 11. |
この脆弱性の問題はOpenVMS環境で稼動する製品に影響しますか? |
| |
OpenVMSシステムには一切影響しません。
|
| 12. |
Sun Solarisの64ビット環境で製品を稼動させています。このバージョンにライセンスパッチは使用できますか? |
| |
はい。
|
| 13. |
「strings licrmt | grep BUILD」を実行しましたが、なにも出力されません。これは何を意味しますか? |
| |
lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2003年3月以前である場合、脆弱性の影響はありません。lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2005年1月以降である場合も、脆弱性の影響はありません。これらのファイルが見つからない場合、脆弱性の影響はありません。llic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2003年4月から2004年12月の間である場合、システムは脆弱性の影響を受けます。
デフォルトのライセンスディレクトリは以下のとおりです。
Windows: C:\CA_LIC または C:\Program Files\CA\SharedComponents\CA_LIC
UNIX/Linux/Mac: /opt/CA/ca_lic または /opt/CA/SharedComponents/ca_lic
|
| 14. |
これらの実行ファイルlic98rmtおよびlic98versionとはなんですか?どのような役割を果たすのですか? |
| |
lic98rmt.exeとは、CA License ClientでありWindowsサービスとして起動します。ネットワーク全体において製品の使用状況およびCA製品のライセンス情報を追跡することを目的とします。lic98version.exeファイルはシンプルな実行可能ファイルで、システム上にインストールされているCAライセンスパッケージのバージョンを表示させるためのものです。このファイルをダブルクリックするとlic98version.logファイルが生成され、ここにCAライセンスを構成する個々のファイルのバージョンが書き込まれます。
|
| 15. |
どのような状況でバッファオーバーフローは発生するのですか?このバッファオーバーフローが起こるとWindowsイベントログになにが表示されますか?詳細をおしえてください。 |
| |
イベントログにバッファオーバーフローが発生したことを示す内容は表示されません。唯一可能性がある兆候としては、lic98rmt.exeプロセスがクラッシュすることです。パッチをインストールすればその心配はありません。
|
| 16. |
「バッファオーバーフロー状態が発生すると、ローカルシステム特権を用いたリモート操作による任意コードの実行を許してしまう恐れがあります」という内容の電子メールを受信しました。このような状況の詳細(または例)をおしえてください。
|
| |
リモートまたはローカルの攻撃者が、CA License Clientが受信待機しているポートに特別な形式のデータを送信して、プロセスの実行スタックをオーバーフローさせる恐れがあります。このオーバーフローにより、システム特権で実行されているプロセスが、メモリ内の別の場所で命令を実行してしまう可能性があります。これらの実行された命令によってシステム障害が引き起こされる可能性があります。
|
| 17. |
受信した電子メールにはまた、「複数の脆弱性の問題」と記載してあります。どういうことですか? |
| |
これは、バッファオーバーフローは複数の方法で引き起こされる可能性があることを指しています。既知の悪用方法はすべて、パッチの最新版でカバーされます。
|
| 18. |
lic98rmt.exeのバージョンを確認するために、ファイルを右クリックして[プロパティ]を選択すると、[バージョン情報]がありません。なにが原因なのですか? |
| |
lic98rmt.exeの旧バージョンにはバージョン情報が組み込まれていないため、[バージョン情報]タブがありません。ただし、これらの旧バージョンのファイルには脆弱性は存在しません。
|
| 19. |
lic98rmt.exeにバージョン情報がない場合、どうやってバージョンを確認するのですか? |
| |
これは、lic98rmt.exeのバージョンが非常に古いケースです。このような古いバージョンに脆弱性は存在しません。
|
| 20. |
脆弱性を確認する別の方法はありますか? |
| |
ご利用環境のライセンスファイルが以下の条件に該当する場合、脆弱性の影響はない為セキュリティパッチの適用は必要ありません。
- lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2003年3月以前である場合
- lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)の日付が2005年1月以降である場合
- lic98rmt.exe(Windows)またはlicrmt(UNIX/Linux/Mac)ファイルがご利用環境に存在しない場合
|
| 21. |
以下のURLで提供されている情報をもとに、稼動しているCAライセンスパッケージのバージョンを確認しようとしています。
http://supportconnectw.ca.com/public/ca_common_docs/security_notice.asp
Windows環境において、C:\CA_LICまたはC:\ProgramFiles\CA\SharedComponents\CA_LICディレクトリのいずれにもlic98version.exeまたはlic98rmt.exeが存在しません。
UNIX環境において、コマンド「strings licrmt | grep BUILD」を/opt/CA/ca_licまたは/opt/CA/SharedComponents/ca_licから実行してもバージョン情報が返されません。
このような場合に、稼動しているCAライセンスパッケージのバージョンを確認するにはどうすればよいですか?
|
| |
Windows環境において、lic98version.exeは複数ファイルおよびそれらの個々のバージョンについての情報を提供します。lic98rmt.exeファイルをチェックする手順では 、その特定のファイルのバージョンしかわかりません。CAライセンスパッケージ全体のバージョンを調べるには、以下を実行してください。
lic98.dllを右クリックして[プロパティ]から[バージョン情報]タブをクリックします。[バージョン情報]タブの上部に「ファイル バージョン」が表示されます。バージョンの接頭部には「0」が付いています。
例:0.1.57.1
この例で、CAライセンスパッケージのバージョンはv1.57.1になります。
lic98.dllはC:\CA_LICまたはC:\Program Files\CA\SharedComponents\CA_LICディレクトリのいずれかに格納されています。
UNIX環境でバージョン情報が返されない場合、CAライセンスパッケージがv1.53より古いことを示しており、このファイルにバージョン情報は含まれていません。
|
| 22. |
CAライセンスの脆弱性の問題を修正するために新しいライセンスをアップデートする場合、OSの再起動は必要ですか?
|
| |
いいえ。
|
|
23.
|
サーバが脆弱であるかどうかを調べるために使用できるプログラムはありますか?
|
| |
はい。以下のプログラムCalicVulnUtil(CalicVulnUtil.exe)を使って、サーバ(Windows、UNIX、Linux)が脆弱であるかどうかを調べることができます。
CalicVulnUtil(CalicVulnUtil.exe)は以下のFTPリンクからダウンロードできます。
ftp://ftp.ca.com/pub/License98/LicenseIT/lic98_v161/CalicVulnUtil/
下記の「USAGE」に示されているように、CalicVulnUtil(exe)に必要な引数はありません。 また、リターンコードが表示され、呼び出し元に戻ります。ログファイルが必要な場合、「CalicVulnUtil > output.log」を実行すると、出力内容がこのファイルにリダイレクトされます。
このユーティリティを表示させるには「/?」を入力します。
C:\>CalicVulnUtil /?
CALIC vulnerability detection - Date xx 200x
| [-] |
CalicVulnUtil (exe): used to determine if a system has a vulnerable CA License
package installed.
|
| [-] |
USAGE:
CalicVulnUtil (exe) requires no arguments
|
| [-] |
RETURN VALUES:
0 - system has been patched and is not vulnerable
1 - system is vulnerable and should be patched
2 - system is not vulnerable but it should be upgraded
3 - system does not have CA licensing installed
other - refer to Windows system error values
|
出力例
C:\>CalicVulnUtil
CALIC vulnerability detection - Mar 9 2005
| [-] |
License registry key found |
| [-] |
InstallPathNew found: C:\CA_LIC\ |
| [-] |
C:\CA_LIC\\lic98rmt.exe is v0.1.4.7 |
| [+] |
COMPLETE: RC=0 - system has been patched and is not vulnerable |
C:\>calicvulnutil
CALIC vulnerability detection - Mar 9 2005
| [-] |
License registry key found |
| [-] |
InstallPathNew found: C:\CA_LIC\ |
| [-] |
C:\CA_LIC\\lic98rmt.exe is v0.1.0.15 |
| [+] |
COMPLETE: RC=1 - system is vulnerable and must be upgraded to v1.61.9
|
|
| 24. |
lic98rmt.exeとlic98version.exeのバージョンが異なるのはなぜですか?
|
| |
lic98version.exeは、ライセンスパッケージ全体のバージョンを示します。ライセンスパッケージが新たにリリースされると、このファイルのバージョン番号が増えていきます。これに対して、lic98rmt.exeのバージョンはCA License Clientサービスのバージョンだけを示しており、今回の脆弱性の影響を受けるのはこのファイルです。たとえば、lic98version.exeがバージョン1.61.2で、lic98rmt.exeがバージョン1.3.1である場合、CA Licensingパッケージが1.61.2、CA License Clientが1.3.1ということになります。
lic98version.exeは、CA Licensingパッケージ1.57.0以上で使用されます。旧バージョンにはこのファイルが存在しないため、脆弱性の状況を調べるにはlic98rmt.exeのバージョンを見なければならない場合があります。
これはUNIXおよびLinuxの場合のlicrmtとlic98version にも当てはまります。lic98versionは、CA Licensing 1.55.0以上にしか存在しませんのでご注意ください。
ご注意:脆弱性チェックユーティリティを使用して、サーバの脆弱性を調べることができます。
|
| 25. |
CA脆弱性ライセンスパッチに対応する、Unicenter NSMマスタイメージのアップデートはありますか?
|
| |
はい。以下はUnicenter NSMマスタイメージの更新パッチであり、SupportConnectよりダウンロード可能です。
NSM 3.1
NSM 3.0 0211
CCS 3.0 0307
|
QO65153
QO65155
QO65154
|
Windows
Windows
Windows
|
ご注意:UNIX/Linux NSM 3.1マスタイメージのアップデートは、お客様からの要望があり次第ご提供いたします。まもなく正式出荷となりますのでご了承ください。
※ 3.1J(日本語版)Unix製品は現在リリースされておりません。
※ ApplyPTFを使用してイメージを作成します。既にインストールしている環境にはこれまでにお知らせした脆弱性のパッチを適用してください。
|
| 26. |
WindowsまたはWinntフォルダ下のDTS\tempフォルダにlic98rmt.exeモジュールのインスタンスが表示されています。このモジュールのサイズは72KBで、CA_LICフォルダ内にあるこのモジュールのサイズは142KBです。これらは同一のものですか?
|
| |
サイズが72KBのモジュールは非常に古いバージョンであり、脆弱性の影響はありません。
ご注意:脆弱性チェックユーティリティを使用して、サーバの脆弱性を調べることができます。
|
| 27. |
およそ10,500のクライアントマシンにSoftware Delivery 4.0 SP1、AMO 4.0 SP1、RCO 6.0 SP1がインストールされていますが、脆弱性情報で説明されていたフォルダ内にlic98rmt.exeモジュールは存在しません。これらもパッチが必要なのですか?
|
| |
必要ありません。ただし、ポート番号10203または10204を受信待機しているものがないこと、およびCA License Clientサービスが起動していないことを確認することをお勧めします。
ご注意:脆弱性チェックユーティリティを使用して、サーバの脆弱性を調べることができます。
|
| 28. |
eAC for UNIX(eTrust Access Control for UNIX)は、デフォルトでこのファイルをlicrmt.orgという名前でインストールします。つまりlicrmtへと名前変更しないかぎり、ライセンスクライアントは起動しないことになります。この場合、デフォルトインストール環境では脆弱性の影響を受けないということですか?
|
| |
製品の中には、異なる名前を使ってライセンスクライアントをインストールするものがあります。これは、ユーザの知らないうちに別のプロセスが起動することを回避するためです。このファイルをlicrmtへと名前変更しないかぎり、脆弱性の影響はありません。
ご注意:脆弱性チェックユーティリティを使用して、サーバの脆弱性を調べることができます。
|
| 29. |
このプロセス(licrmt)はどのように起動するのですか?
起動スクリプトがあればその名前を教えてください。スクリプトがない場合、どうやって起動するのですか?
|
| |
CA製品によってライセンスチェックが行われる際、licrmtプロセスが起動します。licrmtファイルが存在しない場合は、なにも起動されません。
|
| 30. |
この脆弱性の影響を受けるマシンを調べるために、現在使用している環境を検証できるスキャンツールはありますか?
|
| |
CAでは、使用中のマシンを解析するためのユーティリティー、ならびに脆弱性の影響を受けるシステムの検出に要する労力を削減するためのAMO定義を提供しています。さらに、いくつかのサードパーティーベンダーによって、影響を受けるシステムを検出できるスキャンユーティリティが提供されています。CAとして、これらのサードパーティー製品を保証するものではありませんが、お客さまへの便宜上、スキャンツールを提供しているベンダのリンクを以下に示します。
http://www.eeye.com/html/spo/20050309.html
http://www.iss.net/download/
http://www.nessus.org/plugins/index.php?view=single&id=17307
ご注意:脆弱性チェックユーティリティを使用して、サーバの脆弱性を調べることができます。
|
|
31.
|
NT 4.0環境の場合、CA Licenseパッケージv1.61.9へアップグレードすると、License Clientサービス(Lic98rmt.exe)によって以下のアプリケーションエラーが生成されます。
"The procedure entry point ChangeServiceConfig2A could not be located in the dynamic link library ADVAPI32.dll"
|
| |
このエラーは、Windows NT 4.0環境のみに限定されるもので、通常の製品やシステム操作への影響はありません。これは、Windows NT 4.0のサービス設定が、記述項目フィールドをサポートしないことが原因です。この問題はCA Licenseパッケージv1.61.11(以下のFTPに格納)において修正されています。
これらのシステムを修正するには、以下のリンクよりライセンスのアップデートをダウンロードしてください。
ftp://ftp.ca.com/pub/License98/LicenseIT/lic98_v161/v1_61_11
今後、NT 4.0環境に対する製品アップデートは公開されませんのでご注意ください。OSベンダによるこのプラットフォームへのサポートは終了しています。操作の安定性を実現し、継続してサポートを行うためにも、サポート対応されている環境へアップグレードされることを強くお勧めします。
|
|
32.
|
Windows 2000 SP4 や Windows サーバー 2003 マシンで silent.exe を実行しても、CA のライセンス・パッケージはインストールされませんでした。つまり、CA_LIC の中に lic98version.exe がないか、もしくは lic98version.exe がインストールしたバージョンより低いバージョンになっています。どうしてこういうことが起こるのですか。
|
| |
Administrators グループが「認証後にクライアントを偽装」ユーザ権を持っていなければ、起こることがあります。ユーザ権が Administrators グループに与えられていることを以下の手順で確認できます。
1. [スタート] メニューから [設定] - [コントロール パネル] - [管理ツール] - [ローカル セキュリティ ポリシー] を開きます。
2. [ローカル ポリシー] - [ユーザ権利の割り当て] を開きます。
3. [認証後にクライアントを偽装] 権に Administrators を追加します。
4. ログオフをしてから再ログインをします。
5. silent.exe で CA ライセンスをインストールします。
|
|
33.
|
USD (Unicenter Software Delivery) では CA ライセンス脆弱性対応パッチのジョブが完了した旨が表示されますが、実際に成功していない場合があります。この問題は、ターゲットマシンにAdministrator権限を持たないユーザーがログインしている場合に起こることがあります。silent.exe からのリターン・コードに依存するパッチの中には影響を受けるものもあります。詳細は PIB QI71912 を参照してください。
|
| |
原因は CA ライセンス 1.61.X 中の InstallShield 8 にあります。CA ライセンス バージョン 1.62 では InstallShield 10 を利用することで、問題の解決をはかる予定です。
回避策としては、CA ライセンスをデプロイする前に、USD のジョブの一部でアドミンでないユーザをログオフさせます。
パッチの適用の前後で、パッチのインストールが正しく完了し、CA ライセンス脆弱性が正しく修正されているかどうか、確認することをお勧めします。
脆弱性の確認は以下のお知らせをご参照ください:
http://www.casupport.jp/resources/info/050301security_notice.htm
Windowsでは CalicVulnUtil.exe でライセンス脆弱性を調べることもできます。
または、ライセンスディレクトリから lic98version.exe を右クリックし、プロパティを選び、バージョンタブをクリックします。lic98version.exe を実行させ、初期のセキュリティ報告に記述しているようにバージョン情報を得ることもできます。リリース v1.61.9 以上では脆弱性が修正されています。デフォルトでのライセンスインストールディレクトリは以下のとおりです:
C:\CA_LIC or C:\Program Files\CA\SharedComponents\CA_LIC
|
|
34.
|
このパッチを適用した場合、製品自体の動作に影響がありますか? また製品の設定やライセンスの再取得などの処置が必要ですか?
|
| |
パッチを適用した場合、製品自体への影響はありません。
製品の設定やライセンスの再取得も必要ありません。
|
|
35.
|
アップデートを適用するOSやサービスパックなどの前提条件はありますか?
|
| |
ご利用製品の前提条件に準じます。
ただし、NT4.0では CA Licenseパッケージv1.61.11 を適用してください(31項をご参照ください) 。
|
|
36.
|
これまでに脆弱性を利用して被害を受けた事例はあるか?
|
| |
いいえ。これまで、いかなる被害も報告されていません。脆弱性の報告があったのは、iDefense および eEye Digital Securityのみです。
ただし脆弱性を公開したため、ライセンスパッチの速やかな適用を推奨しています。
|
