JPCERT-AT-2001-0007
                                                            JPCERT/CC
                                                           2001-05-10

           <<< JPCERT/CC Alert(sadmind/IIS Worm) 2001-05-10 >>>

JPCERT/CC では、Sun Microsystems の Solaris で稼働している sadmind の
弱点を使ってシステムに侵入し、そのシステムから別の Microsoft IIS が稼
働するシステムを攻撃するワーム (sadmind/IIS Worm) に関するインシデント
報告を受けています。

このワームに関しましては以下の URL をご参照下さい。

  CERT Advisory CA-2001-11 sadmind/IIS Worm
       http://www.cert.org/advisories/CA-2001-11.html

Solaris をご使用のシステム管理者の方は、sadmind が稼働する設定になって
いないか確認の上、必要でなければ稼働しないように設定し、必要であれば、
パッチを適用するなどの処置を早急に行なうことを強くお勧め致します。

また、IIS と sadmind のセキュリティ上の弱点については、各ベンダからパッ
チが提供されています。なお、IIS のセキュリティ情報につきましては、マイ
クロソフト株式会社様よりご提供頂きました。

  Sun Security Bulletins Article 191
       http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba

  Microsoft Security Bulletin(MS00-086)
  [英語版]
      http://www.microsoft.com/technet/security/bulletin/ms00-086.asp
  [日本語版]
      http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086


sadmind のセキュリティ上の弱点については 1999年に報告されています。

  CERT Advisory CA-1999-16 Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
       http://www.cert.org/advisories/CA-1999-16.html

  CERT/CC Vulnerability Note VU#28934
       http://www.kb.cert.org/vuls/id/28934

このワームは sadmind のバッファオーバーフローの問題を使ってシステムに
侵入し、IIS が稼動している別のシステムを攻撃するためのプログラムをイン
ストールします。次に、侵入に成功した Solaris システムを起点として、更
に別の Solaris システムへも侵入を試み増殖していきます。


対応一般につきましては以下の資料もご覧ください。

   コンピュータセキュリティインシデントへの対応
        http://www.jpcert.or.jp/ed/2002/ed020002.txt

   関係サイトとの情報交換
        http://www.jpcert.or.jp/ed/2002/ed020001.txt

なお、今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡下さい。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

Topへ