JPCERT-AT-2001-0007
JPCERT/CC
2001-05-10

JPCERT/CC Alert(sadmind/IIS Worm) 2001-05-10

JPCERT/CC では、Sun Microsystems の Solaris で稼働している sadmind の弱点を使ってシステムに侵入し、そのシステムから別の Microsoft IIS が稼働するシステムを攻撃するワーム (sadmind/IIS Worm) に関するインシデント報告を受けています。

このワームに関しましては以下の URL をご参照下さい。

CERT Advisory CA-2001-11 sadmind/IIS Worm
http://www.cert.org/advisories/CA-2001-11.html

Solaris をご使用のシステム管理者の方は、sadmind が稼働する設定になっていないか確認の上、必要でなければ稼働しないように設定し、必要であれば、パッチを適用するなどの処置を早急に行なうことを強くお勧め致します。

また、IIS と sadmind のセキュリティ上の弱点については、各ベンダからパッチが提供されています。なお、IIS のセキュリティ情報につきましては、マイクロソフト株式会社様よりご提供頂きました。

Sun Security Bulletins Article 191
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba

Microsoft Security Bulletin(MS00-086)
[英語版]
http://www.microsoft.com/technet/security/bulletin/ms00-086.asp
[日本語版]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086


sadmind のセキュリティ上の弱点については 1999年に報告されています。

CERT Advisory CA-1999-16 Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
http://www.cert.org/advisories/CA-1999-16.html

CERT/CC Vulnerability Note VU#28934
http://www.kb.cert.org/vuls/id/28934

このワームは sadmind のバッファオーバーフローの問題を使ってシステムに侵入し、IIS が稼動している別のシステムを攻撃するためのプログラムをインストールします。次に、侵入に成功した Solaris システムを起点として、更に別の Solaris システムへも侵入を試み増殖していきます。


対応一般につきましては以下の資料もご覧ください。

コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt

関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt

なお、今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/