Helix のバッファオーバーフロー問題、情報内容を更新

RealNetworks (NASDAQ:RNWK) は26日、メディア配信ソフト『Helix Universal Server』の持つバッファオーバーフローの脆弱性により、攻撃者に root 権限を許し、システムへの「不適切なアクセス」が可能になるとしてセキュリティ警告を出した。

RealNetworks は今年1月に最初の警告を出し、同脆弱性は DoS 攻撃につながる問題とだけ説明していたが、26日には勧告を更新して、root 権限悪用の可能性を認めた。

攻撃者に root 権限がわたれば、攻撃対象のマシンを完全に支配し、悪意のあるコードを実行することが可能になる。

同脆弱性を発見した英国の Pentest Limited によると、Helix Server のうち数種類で共通の管理コンソールを用いているという。Helix Server の管理コンソールは HTTP 経由で利用するもので、HTTP Basic Authentication によって認証を行なう。認証を通過できた攻撃者は、不正な HTTP POST 要求を管理コンソールに送信してバッファオーバーフローを起こし、そのサーバー上で任意のコードを実行できる、と Pentest は警告した。

問題の脆弱性は、『Helix Universal Mobile Server & Gateway 10』バージョン10.1.1.120までと、『Helix Universal Server and Gateway 9』バージョン9.0.2.881までとなっている。

セキュリティ警告の中で、RealNetworks は実際の悪用例の存在については未確認と述べており、「同脆弱性を悪用するには、サーバーやプロキシマシンに管理者権限で認証を通過する必要がある。管理者によるアクセスが適切な管轄下にあれば、危険性は無いに等しい」と説明している。