|
Helix Universal Server、RealSystem Server 8 および 7 の脆弱性
2003 年 9 月 11 日更新
Helix Universal Server 9 およびそれ以前のバージョン (RealSystem Server 7、RealSystem Server 8) では、サーバのプロトコル パーサーで解析される URL に特定の文字列が数多く使われている場合、サーバ上で任意のコードが実行される可能性があります。RealNetworks Proxy 製品、RealServer G2 以前の Server 製品では、この問題は発生しておりません。
回避策:
この問題への新しい解決方法が 2003 年 9 月 11 日に提供されました。
RealNetworks は、Helix Universal Server、もしくは RealSystem Server がインストールされているディレクトリ配下の Plugins ディレクトリから RealNetworks View Source プラグインを削除し、サーバ プロセスを再起動することで、このセキュリティ上の脆弱性が解決されることを検証しました。
View Source プラグインは、サーバに読み込まれたファイル システムにアクセスできるメディア ファイルのフォーマット ヘッダを読み取り、表示します。このプラグインを削除しても、オンデマンドやライブのストリーミング配信、ロギング、製品の認証サービスに支障をきたすことはありません。ただし、プラグインを削除すると、コンテンツ参照機能が無効になります。
RealNetworks では、この問題の回避策として View Source プラグインの削除を検討した結果、現在製品をご利用中のすべてのお客様にご利用していただける Helix Universal Server の新バージョンを開発する予定です。新バージョンのサーバではこの問題を解決し、製品のインストール後にシステム管理者がコンポーネントの一部を削除する必要はなくなります。新バージョンをご利用いただけるようになりましたら、お客様にアップグレードをお勧めする予定です。
この問題について、http://www.securityfocus.com/ に情報をお寄せくださったお客様に感謝します。
保証:
RealNetworks 社では、お客様に最高品質の製品とサービスを提供するために最善の努力をしております。しかし、RealNetworks 社の製品がエラーを起こさず、安全に、かつ確実に動作することを保証するものではありません。弊社の補償範囲および免責条項につきましては、お手元のライセンス契約書をご覧ください。
|
