Hi ALL,
I wish to setup location switching awarenees in my test enviroment. There is require 3 location as below.
* Default [Dafault] - When the user is not using LAN and Wireless
* Wireless - when the user using wireless
* LAN - when the user using LAN
For the wireless and LAN location I have no issues. But when I come to Default. It not work but logically what I think is working. The setting as below.
Kindly advice.
Hello- I'm no ORACLE DBA, but my understanding is SYMC DLP Network Discover can scan Oracle BLOB and CLOB- but what about NCLOB? NCLOB uses Unicharacter set while CLOB uses regular character set.
Hello,
I am unable to install or update Adobe Acrobat 9, 10, or 11 versions. The install stops because of AC16-1.1 Prevent registration of new Toolbars. I have added an application control rule exception for the registry value for the Adobe key however this doesnt appear to resolve the issue. Has anyone else run across this?
Thank you
I am trying to install SEP 12.1.6MP4 to a Windows 10 32bit which just upgrade from Windows 7.
I try to run the installation msi file which export from SEPM but it says "Install wizard was interrupted before symantec endpoint protection could be completely installed.
I have tried to use clean wipe to uninstall the old version 12.1.5 and restart the computer, then install the 12.1.6. But I could not get it working.
I have attached the sep_int.log file in this post.
Can anyone help and check what causing the error ?
Thanks very much
I have some Windows clients and some Linux clients with SEP 12.1.6 installed. There's a LiveUpdateAdministrator server that the Linux clients point to for DAT updates - all seems well there.
For the Windows clients though, when I'd run LiveUpdate from a client, they would try to go to liveupdate.symanteclivedate.com for updates rather than go to the SEP manager server (or at least that's where they appeared to be going in the client app GUI).
I modified the liveupdate policy to "use.a specified internal liveupdate server" and added the URL of the SEP manager server. I'd get an immediate "failed to connect to server" error when using that so I added ':8014' as the port number after the URL, but still got the "failed to connect" error. It *is* going to the SEP manager though instead of Symantec.
Maybe I'm just using the wrong port? Or does it need a sub-folder added after the URL? (like the LUA server needs /clu-prod after the host name:port # entry)
Hello,
Can you tell me please how many days needs a junior engineer to deploy the mpki solution + HSM appliance and 120 user seat ?
thanks in advance for the help.
Hi
After my upgrade to latest version 10.6.1-3 I have received a mta crashed on signal 11 on server exit code: 0x008B
This is not the first time on this version. This server run as control center and scanner.
I have also notice a high cpu usage.
Some hardware statistics:
DF:
/dev/sda2 7.9G 1.7G 5.8G 23% /
none 3.9G 0 3.9G 0% /dev/shm
/dev/sda1 99M 35M 60M 37% /boot
/dev/sda6 48G 26G 20G 57% /data
/dev/sda5 2.0G 1.1G 888M 54% /opt
TOP:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
23867 mailwall 20 0 4409m 1.5g 5020 S 100.5 19.2 1994:34 bmserver
25081 mailwall 20 0 438m 42m 4656 R 96.2 0.5 962:08.54 conduit
1574 named 20 0 474m 25m 1088 S 4.6 0.3 180:52.53 named
16362 mailwall 20 0 1057m 36m 5620 S 4.0 0.5 5:34.78 ecelerity
//Peter
Hi guys, I am trying to remove MacAfee and installing SEP 12.1.6 MP4. Version of MacAfee agent is 5.0.2.333 and version of MacAfee Virus Scan is 8.8.07.
I am pushing the package from SEPM and already selected Unistall Third party software in Installation Package. However when the package is pushed only MacAfee Virus Scan is removed , MacAfee Agent is not removed and its still there.
There is no password protection or temper protection for MacAfee.
Can you please share with the SepPrep file or any instructions as how can I also remove MacAfee Agent as well. I would really appreciate your help. Thanks
Hi,
We have 2 SEPMs with a single sql database configured in loadbalancing mode. We are planning to configure external logging in SEPM to transmit the logs to the syslog server. I have questions regarding the master logging server. For example, if I select the primary SEPM as the master logging server in the settings as mentioned in the screenshot attached, is it the only responsible server to transmit the logs to the syslog server or does Secondary SEPM also play any role to transmit the logs to the syslog server.
Also the other question is, if the primary SEPM goes down, will the secondary SEPM continue to transmit the logs automatically? if yes/no, I would be glad to know how it works.
Regards,
Senthil Srinivasan.
Help! The lastest rapid release files for symrapidreleasedefsi32.exe are not on this page. There is no mention of them being removed or any warning. Please let me know if/when they will be updated. Thanks in advance.
https://www.symantec.com/security_response/definit...
Hi,
I was wondering if Symantec (or anyone else) has done any scalability testing on the Application and Device Control rule sets, in particular around implementing whitelisting of applciations.
We're in the data collection phase of implementing whitelisting for the user's AppData folder to assist with the prevention of malware, and general lockdown of our environment to maintain control and stability.
We've found two types of data that work within the AppData folder:
1. Installed programs (typically when the user selects for it to be available for them only as well as web browser plugins etc)
2. Temporary files for setup.exe's when programs are being installed into 'Program Files' (etc) folders
It's the second one i'm focusing on as the whitelist for these is starting to look large. So far I've found around 300 individual temporary files, this can be reduced somewhat by using paths rather than MD5 hashes (but in doing this, we reduce the security offered by whitelisting.)
Has anyone tested the performance of SEP when you have hundreds of files in the exclusions (particuarly the 'Launch Process Attempts' rule)?
Our rule is currently set up as follows (more so for varying the types of logging we get):
One rule with two 'Launch Process Attempts' sub-rules.
1. Whitelisting for temporary installer based files (Playing with MD5 hashes and file paths located in the 'Apply to the following processes' box)
2. Broad blacklisting (Apply to the following processes) & exceptions (Do not apply to the following processes)
Thanks,
Steve
Hi all,
i got "Warning: The acailable licenses for server data collection, are not installed or are expired or exceed the required licenses limit. when ran collection-evaluation-reporting job
the job is completed with the error msg above.
FYI, my license is still valid
please help me on this issue :)
Hi Chaps,
I have now moved to a new company and the forwarding for my old email address is now disabled. Is there a way to update my email address in symantec connect so I will receive the discussion update emails?
Cheers
PaulC
このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は、古くから現在まで発生し続けている「ディレクトリインデキシング」に起因する情報漏洩について解説をしています。
※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。
+++++++++++++++++++++++++++++++++++++++++++++++
意図しないファイル公開とディレクトリインデックシング(CWE-425、CWE-548)
■概要
ディレクトリインデキシング(ディレクトリリスティング)はWebサーバーの標準的な機能の一つであり、URLのパスとしてディレクトリを指定した場合に、そのディレクトリに含まれるファイル名を表示する機能です。例えば、ソフトウェアのダウンロードを目的とするサイトでは、ファイル一覧をHTMLとして作成しなくても、ディレクトリインデキシングを使用すると、自動的にファイル名の一覧が表示され、ダウンロードもできるため便利です。
しかし、うっかりWebサーバーの公開領域に秘密情報を含むファイルが置かれている場合、ディレクトリインデキシングにより、そのファイル名が外部から判明することにより、秘密情報が漏洩する原因になります。
■攻撃のイメージと影響
http://example.jp/bbs.php というURLで掲示板ソフトを提供しているサイトがあり、このサイトにはディレクトリインデキシングが有効であるとします。この場合、http://example.jp/ を閲覧すると、以下のような表示となります。
Index of /
【後略】
ここで、bbs.dbというファイルが表示されていますが、これは掲示板のデータベースファイル(SQLite形式)です。bbs.dbのリンクをクリックするだけでデータベースファイルをダウンロードでき、データベース内の個人情報など秘密情報が簡単に外部に漏洩してしまいます。
■脆弱性による影響
ディレクトリインデキシング自体は脆弱性ではなく、公開を意図していないファイルを公開領域に配置してしまったことが脆弱性といえます。ディレクトリインデキシングの設定がない場合でも、秘密情報が公開領域にある場合、ファイル名が辞書攻撃などによりわかってしまう場合があります。
また、とある国家資格のウェブサイトにおいて、解答のPDFファイルを試験前にダウンロードされてしまった事件も過去に起こっています。原因は、解答のPDFファイルをあらかじめWebサーバー上に配置しておき、公開のタイミングでファイルへのリンクを表示する運用をしていたところ、毎年同じルールでファイル名をつけていたために、そのファイル名の規則性を見破られてしまったことが原因でした。そもそも非公開とすべきファイルをWebサイト上に配置してしまったことが根本原因と言えます。
上記脆弱性の影響には以下があります。
■脆弱性の有無の確認方法
脆弱性の確認には以下を実施する必要があります。
また、外部からディレクトリインデキシングの有無を診断する方法が、「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に記載されています。
■対策
対策としては以下を実施します。
Apacheでディレクトリインデキシングを無効にするには、httpd.conf等に以下(-Indexes)を設定します。
<Directory "/var/www/html"> Options -Indexes </Directory> |
■参考文献
ウェブ健康診断仕様(安全なウェブサイトの作り方別冊)
このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は、ミドルウェアのバグに基づくサービス妨害攻撃(Denial of Service; DOS)を受けやすい脆弱性について解説をしています。
※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。
+++++++++++++++++++++++++++++++++++++++++++++++
ミドルウェアの不具合に起因するサービス妨害攻撃
■概要
サービス妨害(DoS)攻撃という手法があります。細工を施したリクエストや大量のリクエストをサーバーに送信することにより、サーバーの動作を遅くしたり、場合によってはサーバーを停止させる攻撃のことです。DoS攻撃では情報の漏洩やデータの改ざんは通常起こりませんが、サーバー停止の状況によっては、ファイルの一部が破損する場合はあり得ます。
DoS攻撃としてよく用いられる手法にはネットワークの問題を悪用したものが多いのですが、それ以外にミドルウェアやアプリケーションの不具合を悪用する方法もあります。その一例として、Apacheの不具合を悪用したApache Killer(CVE-2011-3192)やPHPやJava等の言語システムの不具合を悪用したhashdos(CVE-2011-4885等)があります。
■攻撃のイメージと影響
以下はApache Killerの送信するHTTPリクエストです。一部を割愛しています。Rangeヘッダに攻撃の特徴があります。
GET / HTTP/1.1
Host: example.jp
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8,5-9,5-10,5-11,5-12,5-13,5-14,5-15,5-16,5-17,5-18,5-19,5-20,5-21,5-22,5-23,5-24,5-25,5-26,5-27,5-28,5-29,5-30,5-31,5-32, 【中略】 5-1281,5-1282,5-1283,5-1284,5-1285,5-1286,5-1287,5-1288,5-1289,5-1290,5-1291,5-1292,5-1293,5-1294,5-1295,5-1296,5-1297,5-1298,5-1299
上記を脆弱性のあるApacheが受け取ると、CPU使用量、メモリ使用量の両方が肥大化し、メモリ不足とCPU能力の枯渇がおきます。特に、メモリ不足により、Linux OSにおいてはOOM Killerという仕組みが動き、メモリ使用量の多いプロセスを停止していきます。OOM Killerはプロセスの重要度を考慮しないので、データベースサーバー等サービス提供に不可欠なプロセスまで停止させられ、ウェブサーバーは機能停止に陥ってしまいます。
以下はPHPに対するhashdos攻撃のリクエスト例です。
POST /phpinfo.php HTTP/1.1 Host: example.jp Content-Type: application/x-www-form-urlencoded Content-Length: 1441792 EzEzEzEzEzEzEzEz=&EzEzEzEzEzEzEzFY=&EzEzEzEzEzEzEzG8=&EzEzEzEzEzEzEzH%17=&EzEzEzEzEzEzFYEz=&EzEzEzEzEzEzFYFY=&EzEzEzEzEzEzFYG8=&EzEzEzEzEzEzFYH%17=&EzEzEzEzEzEzG8Ez=&EzEzEzEzEzEzG8FY=&EzEzEzEzEzEzG8G8=&EzEzEzEzEzEzG8H%17=&EzEzEzEzEzEzH%17Ez=& 【後略】 |
このリクエストをPHPが受け付けると、パラメータを内部の連想配列(ハッシュと呼ばれます)に格納する処理に異常に時間がかかり、その間新規リクエストを受けつられなくなります。ただし、Apache Killerと異なりメモリが枯渇するわけではないので、攻撃がやめば直ちにサーバーは回復します。
■脆弱性による影響
DoS攻撃による影響の例としては以下があります。
■脆弱性の有無の確認方法
日本ベリサインの「脆弱性アセスメント」には、Apache Killerおよびhashdos脆弱性検出の機能が提供されています。
脆弱性スキャナが利用できない場合は、ApacheやPHP等のバージョンが対策済みのものであるかどうかを確認して下さい。
Apache Killer の影響を受けるバージョン 2.2.0 ~ 2.2.20
Hashdosの影響を受けるもの
ASP.NET MS11-100 未適用のもの
Tomcat 5.5.34およびそれ以前、6.0.34およびそれ以前、7.0.22およびそれいぜん
Ruby 1.8.7-p352およびそれ以前
PHP 5.3.8およびそれ以前
■対策
対象ソフトウェアの対策バージョンへのバージョンアップあるいはパッチ適用を行います。
Apache Killerおよびhashdosには、それぞれ緩和策があります。なんらかの理由でパッチ適用等ができない場合、緩和策を実施することで、攻撃を受けた場合の被害を軽減できます詳しくは参考文献を参照ください。
なお、「シマンテック クラウド型WAF」では、Apache Killerやhashdos等の脆弱性からウェブサイトが攻撃を受けるのを防ぐことができます。
■参考文献
独立行政法人情報処理推進機構(IPA)の注意喚起
https://www.ipa.go.jp/security/ciadr/vul/20110831-apache.html
https://www.ipa.go.jp/security/ciadr/vul/20120106-web.html
Apache公式サイトのアドバイザリ(英語)
このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回はSSL3.0の脆弱性POODLE (Padding Oracle On Downgraded Legacy Encryption; CVE-2014-3566)について解説をしています。
※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。
+++++++++++++++++++++++++++++++++++++++++++++++
POODLE (Padding Oracle On Downgraded Legacy Encryption; CVE-2014-3566)
■概要
インターネット上の通信暗号化のプロトコルとして、従来からSSL(Secure Sockets Layer)が広く使われています。このSSLの一番新しいバージョン3.0を効率的に解読する方法が今年の10月に米Google社のセキュリティチームにより公表され、POODLE(Padding Oracle On Downgraded Legacy Encryption)と命名されました。POODLEを用いるとSSL3.0上のHTTPS通信の一部が解読される可能性があります。
■攻撃のイメージと影響
SSL3.0による暗号化では、CBC方式のブロック暗号を選択することができ、その場合に一定の長さのブロックという単位で暗号化が行われます。暗号化対象のデータサイズはブロック長の倍数とは限らないため、ブロックの余白の部分にはパディングというダミーのデータを配置します。SSL3.0のパディングについては厳密なチェックが仕様として要求されていないため、パディングを巧妙に操作することにより、1回の通信で1/256の確率で1バイトのデータが復号できます。これを繰り返すことにより、数十バイトのデータを得ることができます。典型的には、クッキーやBASIC認証のパスワードが攻撃の対象になります。
POODLE攻撃を行う前提として、利用者の端末からの通信を外部から操作できることが必要となります。そのような性質を持つプロトコルとしてHTTPがあります。一方、HTTP以外のメールやデータベースのプロトコルではPOODLEの影響は受けません。
■脆弱性による影響
この脆弱性による影響として、通信の一部が第三者に漏えいする可能性があります。典型的な影響の例としては、クッキーの漏洩によるなりすましや、BASIC認証のIDとパスワードが漏洩して不正ログインなどが考えられます。
攻撃の性質上、HTTP以外のメール等の暗号を解読することはできません。また、クッキーやHTTP認証(BASIC認証やDIGEST認証)を使用していないサイトは影響を受けにくいと考えられます。
■脆弱性の有無の確認方法
WebサーバーのPOODLE脆弱性を検証する方法として、SSL3.0が有効になっているかどうかで判定することができます。例えば、Windowsのインターネットオプションの「詳細設定」タブで「SSL3.0を使用する」を有効に、その他のSSLおよびTLSを有効にしない設定にして、対象サイトをInternet Explorer(IE)でHTTPSアクセスします。正常にアクセスできた場合は、SSL3.0が有効ですので、POODLE脆弱性があることになります。
チェックの後は必ずインターネットオプションを元に戻しておいてください。
■対策
POODLE脆弱性はプログラムのバグではなくプロトコル自体の脆弱性であるため、パッチ適用等では根本的に修正することはできません。POODLEの影響を受けるサイトの場合、SSL3.0を無効にして、TLSのみを有効にすることで、POODLE脆弱性を受けなくすることができます。
なお、「シマンテック クラウド型WAF」では、POODLE脆弱性によりウェブサイトが攻撃を受けるのを防ぐことができます。
■参考文献
更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html
JVNDB-2014-004670 OpenSSL およびその他の製品で使用される SSL プロトコルにおける平文データを取得される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004670.html
JVNVU#98283300 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は2014年9月に公表されたGNU Bashの脆弱性について解説しています。この脆弱性はShellShockと呼ばれます。
※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。
+++++++++++++++++++++++++++++++++++++++++++++++
ShellShock(CVE-2014-6271)
■概要
UnixやLinux等のOSでは、ユーザーからのコマンドを解釈実行するプログラムとしてシェルが用いられます。シェルの中でもLinuxやMac OS X等に標準で採用され、もっとも広く用いられているものにBashがあります。
他のシェル同様Bashにはプログラミングの機能があり、関数を環境変数により外部から指定することができます。この機能に脆弱性があり、環境変数経由で、外部から指定された任意のプログラムを実行できてしまいます。
Bashに対して外部から環境変数を指定する方法の典型例はCGIプログラムによるものですが、これ以外にメール受信など複数の方法が指摘されており、9月以降現在まで、攻撃が活発に継続されています。
■攻撃のイメージと影響
Perl言語により記述されたCGIプログラムがあり、以下の部分によりメール送信をしているとします。以下のプログラムは外部からのパラメータ指定などはなく、一見すると攻撃の余地はありません。
system('/usr/sbin/sendmail admin@example.jp< mail.txt');
しかし、このCGIプログラムを起動する際に、ブラウザのUser-Agentを以下のように指定することで攻撃ができてしまいます。
() { :;}; /bin/cat /etc/passwd
CGIプログラムに対しては、User-AgentなどHTTPヘッダは環境変数経由で渡されます。そして、CGIプログラムからsendmailコマンドを起動する際に、system関数の実装上シェルが起動されます。このため、デフォルトシェルとしてbashが指定されている環境では、上記のアクセスの結果 /etc/passwdの内容が表示されます。
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
【以下略】
■脆弱性による影響
この脆弱性による影響の例として下記がありますが、これらに限定されるわけではありません。
■脆弱性の有無の確認方法
Bashのプロンプトから以下を実行してください。
$ env x='() { :;}; echo this bash is vulnerable' bash -c :
下記が表示された場合、ShellShock脆弱性があることになります。
this bash is vulnerable
■対策
Bashの最新版を導入するか、Bashの最新のパッチを適用することで対処できます。ShellShock対応の初期のパッチは対策が不十分という指摘があるため、必ず最新のパッチを全て適用するようにしてください。
なお、「シマンテック クラウド型WAF」では、ShellShock攻撃からウェブサイトが攻撃を受けるのを防ぐことができます。
■参考文献
JVNVU#97219505
GNU Bash に OS コマンドインジェクションの脆弱性
Hi
I have exported a setup.exe from SEMP server to deploy using a task sequence on SCCM. But it is not working.
May be could be windows defender. But we have not find much information to disable it during SCCM deployment on Windows 10.
Have someone experimented the same problem?.
Thank you
Best Regards
このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は、Linux等で使用されているC言語向けライブラリglibcの脆弱性であるGHOST(CVE-2015-0235)について解説をしています。
※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。
+++++++++++++++++++++++++++++++++++++++++++++++
GHOST脆弱性(CVE-2015-0235)
■概要
Linux OSの内部で使用されているライブラリglibc(GNU C ライブラリ)にgethostbynameという関数があり、ホスト名からIPアドレスを求める目的で利用されています。このgethostbyname関数には、処理に必要なメモリのバイト数計算に誤りがあり、バッファオーバーフロー攻撃が可能となることが2015年1月に発見されました。この脆弱性はGHOSTと呼ばれます。
gethostbyname関数を利用しているソフトウェアのうち、メール配信サーバーEximでは実際に任意コード実行が可能であることが実証され、その他のソフトウェアでも影響があるものが報告されています。
■攻撃のイメージと影響
以下のPHPスクリプトをコンソールにて実行します。
<?php
gethostbyname(str_repeat('0', 1027));
gethostbyname(str_repeat('0', 1028));
str_repeat関数は、文字列を指定の数字だけ繰り返す関数です。このためgethostbyname関数の引数は、それぞれ 0 を1027個並べたものと、0を1028個並べたものになります。このスクリプトの実行結果は以下のとおりです。
$ php gethostbyename-vul.php
*** glibc detected *** php: realloc(): invalid next size: 0x08b0b118 ***
======= Backtrace: =========
/lib/libc.so.6[0x92de31]
/lib/libc.so.6[0x9330d1]
/lib/libc.so.6(realloc+0xdc)[0x93326c]
【後略】
不正なメモリ操作が検知され、PHPが異常終了していることがわかります。
以上はPHPでの脆弱性の例ですが、メール配信サーバーEximを使っている場合、インターネット経由の攻撃により、任意のコードが実行できることが確認されています。
■脆弱性による影響
Eximを使っている場合、外部から任意コードが実行され、結果として以下の影響を受ける可能性があります。
Exim以外では任意コード実行が検証されてはいませんが、前述のPHPの例のようにソフトウェアがクラッシュ(異常終了)したり、最悪ケースでは任意コードが実行されてしまう可能性があります。
■脆弱性の有無の確認方法
この脆弱性の発見者であるQualys社が脆弱性判定用のプログラム(C言語ソース)を公表しています。
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
$ gcc GHOST.c コンパイル
$ ./a.out 実行
Vulnerable Vulnerableと表示されたら脆弱
$
■対策
各Linuxディストリビューションから対策パッチが提供されていますので、該当するパッチを適用してください。
■参考文献
Qualys社のアドバイザリ(英文)
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
独立行政法人情報処理推進機構(IPA)の注意喚起