|
|
| ダウンロード:RealPlayer 10 | |
JP.REAL.COM | |
リアルガイド | |
ゲーム | |
JP.REALNETWORKS.COM | |
検索 |
 |
|
Helix Server / Gateway の潜在的な脆弱性 - 更新版 2004 年 2 月 26 日更新 注: この脆弱性は、2004 年 1 月 12 日に最初に発表されました。(http://service.jp.real.com/help/faq/security/040112_dos.html) Helix Universal Server / Gateway 9 には、特定のタイプの HTTP POST メッセージがサーバの Administration System ポートに送信されたときに、root 権限を不正に利用される潜在的な脆弱性があります。Helix Mobile Server / Gateway 10 も、同様のタイプの攻撃に対して脆弱です。この脆弱性を利用する攻撃者は、サーバやプロキシが稼動しているシステムに不正にアクセスできる可能性があります。ただしこの脆弱性が原因で実際に損害を受けたシステムがあるという報告を、これまでのところ RealNetworks 社は受けていません。 また、この脆弱性を攻撃するには、サーバやプロキシの Administration System に管理者ログインする必要があることにも注意してください。管理者アクセスが適切に管理されていれば、この脆弱性によるリスクは無視できます。 影響を受ける製品およびバージョン: * Helix Universal Server / Gateway 9 (9.0.2.881 以前のバージョン) * Helix Mobile Server / Gateway 10 (10.1.1.120 以前のバージョン) RealSystem Server / Proxy のバージョン 8.x とそれ以前の製品は、この脆弱性の影響を受けません。 解決策: Helix Universal Server / Gateway 9 この脆弱性は、Helix Universal Server 9 または Gateway 9 のアップデート版をインストールすることにより解決されます。
上記以外の OS につきましては、現在検討中です。「その他の Tips」で示す対策の徹底をお願いします。 Helix Mobile Server / Gateway 10 この脆弱性は、/Plugins ディレクトリ内の RealNetworks Administration System プラグインを置き換えることにより解決されます。 Solaris 2.8 - adminfs.so Linux - adminfs.so Administration System プラグインを置き換えるには、上記のファイルをクリックしてアップデート版をダウンロードした後、/Plugins ディレクトリ内の現在の Administration System プラグインを置き換えてから、サーバまたはプロキシを再起動します。 その他の Tips * サーバやプロキシのアクセス制御機能を利用して、Administration System へのアクセスを制限してください。 * 管理者のパスワードとして、簡単に予想できないものを使用してください。 謝辞: RealNetworks は、この脆弱性をご報告いただいた Pentest Limited (http://www.pentest.co.uk/) の Matt Moore 氏に感謝いたします。 保障: RealNetworks 社では、お客様に最高品質の製品とサービスを提供するために最善の努力をしております。しかし、RealNetworks 社の製品がエラーを起こさず、安全に、かつ確実に動作することを保証するものではありません。 弊社の補償範囲および免責条項につきましては、お手元のライセンス契約書をご覧ください。 |
| メーリングリストからの削除 | |
リーガル情報 | |
プライバシーポリシー | |
ロゴとリンク |