JVNVU#97365498
Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントに認証欠如の問題

Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントには、ユーザがシステム内の任意のファイルを参照可能な問題が存在します。

• Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェント Version 7.5 および 7.6

重要な機能に対する認証の欠如 (CWE-306) - CVE-2015-8268
研究者は「Linux 向けの uptime.agent version 7.5 が読み出し権限を持つ任意のファイルをリモートから認証なしで取得できる」と述べています。開発者は、version 7.5 および 7.6 がこの問題の影響を受けることを確認しています。

関連する脆弱性情報が JVNVU#99135508 で報告されています。

遠隔の第三者によって、当該製品が動作しているシステム上の任意のファイルを取得される可能性があります。

アップデートする
開発者は本脆弱性を修正した Uptime Infrastructure Monitor Version 7.7 をリリースしています。
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、アップデートのほかに、影響回避のための設定について次のように述べています。

1. All agents run in a read only mode by default, where they can only poll metrics.
   (エージェントはデフォルトで読み取り専用になっており、ポーリングのみ可能です。)
2. In order to use custom scripts or trigger recovery actions, you need to set a password on the agent, or add commands to the .uptmpasswd file for the linux agent.
   (カスタムスクリプトを使用したりリカバリ動作を指示したりしたい場合は、エージェントにパスワードを設定するか、Linux 向けエージェントでは .uptmpasswd ファイルへコマンドを追加してください。)
3. Agents communication can be encrypted with SSL by using various SSL Tunneling/Proxy Utilities (openSSL, etc). KB articles cover the specifics for implementing with Stunnel on various platforms.
   (エージェントの通信は OpenSSL など様々なトンネリング / プロキシ用ツールを使って暗号化することが可能です。Securing the Linux agent (tcpwrappers and ssl) では、様々なプラットフォームで stunnel を使って設定する場合の詳細が説明されています。)
4. Agents running under xinet.d can also be secured at the service level by restricting incoming connections to only accept connections from the Monitoring Station, or limit the total number of connections, etc.
   (エージェントが xinet.d 下で動作する場合も、Monitoring Station 以外からの通信の制限、同時接続数の制限などを行うことができます。)
5. Disable Agent Commands you don't use either via the Agent Console or editing conf/agent_commands.txt.
   (使用しない Agent Command については、Agent Console からの設定または conf/agent_commands.txt を直接編集することで、無効化してください。)