Symantec、ソースコード流出を受けpcAnywhereの無効化を呼びかける 21
ストーリー by headless
遠隔 部門より
遠隔 部門より
29693
あるAnonymous Coward 曰く、
Symantecは、同社製品のソースコード流出を受け、リモートアクセスソフトウェア「pcAnywhere」の無効化をユーザーに呼びかけている(ホワイトペーパー: PDF、 CNET Japanの記事、 本家/.)。
流出したソースコードは2006年バージョンのもので現行版への影響は少ないが、pcAnywhereの場合は通信傍受や不正アクセスなどを受ける可能性があるという。pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。また、傍受によりログイン情報が盗まれた場合は、不正なリモートセッションが確立される可能性もあるとのこと。
Symantecはこの問題を脆弱性と認識しており、1月23日にバージョン12.5用のパッチを公開済み。バージョン12.0と12.1用のパッチも先週中に公開する予定とされていたが、現時点では提供開始のアナウンスはない。すべての更新完了までpcAnywhereクライアントだけでなく、リモートアクセスサーバーやサービスの停止なども推奨されている。
いっちゃん困るのはサポートが切れている人 (スコア:1)
古いバージョンのパッチを提供してくれるのか?とか、停止を推奨している間の代替案はどうしてくれるのよ?とか謝罪と賠償を(ry
で、PCanywareって使われているのかなぁという気もするのですが、先日どこかのビルにドデカイPCanywareの画像を見たので、ビルボードのリモート管理で使っているところがあるようです。
(こういうところがジャックされたらヤダナ!)
Re:いっちゃん困るのはサポートが切れている人 (スコア:2)
「サポートが切れている」ってのはそーゆー意味です。
理解するチャンスができてよかったですね。
Re:いっちゃん困るのはサポートが切れている人 (スコア:1)
クライアント350 vs ヘルプ2 とか
ちょっと前のWindowsなら標準機能で充分 (スコア:1)
ユーザサポートならリモートアシスタンスや Windows Messenger のデスクトップ共有で充分。
サーバのリモートメンテナンスならリモートデスクトップがあるし,サーバ自体のリモート管理機能や KVMスイッチのリモート機能もそろっている。
今更 pcAnyware を使う動機ってあるんだろうか。
と思っていたけど,Windows7 や Windows Server 2008 は使っていないから最近の状況が判っていない……
Re: (スコア:0)
ファイル送受信、、、は動機には弱いか
ソースコード漏洩=通信内容が漏洩? (スコア:0)
pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。
今時暗号化技術なんて、仕様から実装から公開しまくって、四方八方から検証という名の査読を受けてようやく一人前、だと思っていたのですが、少なくともバージョン12.5以前のpcAnywhereについては、仕様や実装を開示されたら困るタイプの暗号化を使用していた、ということなんでしょうか。
Re:ソースコード漏洩=通信内容が漏洩? (スコア:5, 興味深い)
Re: (スコア:0)
なるほどSSLって危険極まりなかったんですね
Re:ソースコード漏洩=通信内容が漏洩? (スコア:5, 興味深い)
Re: (スコア:0)
つまり隠蔽してればSSL2.0を今でも使えたとかpcAnuwhereはSSL2.0並みの強度だと言いたいわけ?
Re: (スコア:0)
>ええ、SSL2.0の脆弱性の問題で、設定からSSL2.0を無効にするように推奨された歴史を忘れましたか?
SSL 2.0って、ストリーム暗号が使われていましたっけ?
で、それに起因する脆弱性はありました?
Re: (スコア:0)
>SSL 2.0って、ストリーム暗号が使われていましたっけ?
失礼、選択肢の中のRC4だけはストリーム暗号でしたね。
ただ、SSL2.0の問題は、ストリーム暗号ゆえの問題ではないと認識してましたが、違いましたっけ?
Re:ソースコード漏洩=通信内容が漏洩? (スコア:1)
鍵? (スコア:1)
もしかして、ソースには秘密鍵が書いてあったのかもね、とのアナリストのコメント。
http://www.computerworld.com/s/article/print/9223725 [computerworld.com]
そういう類のことなら、あってもおかしくないかも。
ただ、秘密鍵だとして、それをインド政府だったかに開示する必要があったかは不明。
Re: (スコア:0)
もしインド政府に秘密鍵を開示していたとしたら、別にソースが漏れていなくても危険な気がする。特にインドを信用しないわけじゃないけれど、常識的に考えるとかなりまずい状況だよな。
Re: (スコア:0)
少なくとも開示先にとっては、pcAnywhereの暗号通信は丸裸も同然、って時点で危険きわまりないですね。
そもそも秘密鍵を開示したこと自体が秘密なはずなので、万が一漏洩したとしてもその事実を開示できないでしょうし。
要約すると、ソース公開の競合ソフトをディスっているんですね? (スコア:0)
TightVNCを常用しています。録画サーバーのメンテナンスなどに…
pcAnywhereのことは、もう何年も前に説明を見た程度で
長いこと、気にすることがありませんでした。
VNCでだいたいのことはできるし、必要に応じてssh -XからX転送も使います。
TeamViewerのことは、ちょっとだけ気にしていますが、試してもいません。
RDPは、対応したサーバー搭載OSを使わないので、論外だと思っています。
pcAnywhereもビジネスの市場では、使われ続けているのでしょうが
窮状あっての自作自演にも見えます。
Re:要約すると、ソース公開の競合ソフトをディスっているんですね? (スコア:1)
別のコメでも指摘されているけど、XP Pro とか 7 Pro とか、Professional 以上のビジネス向けエディションなら、RDPで操作できます [impress.co.jp]。
職場ではリモートデスクトップ、pcAnywhere、UltraVNCを使ってますが、
リモートデスクトップとpcAnywhereは回線が細くても結構快適なのに対し、
VNCは回線が細いところで使うとかなりレスポンスが悪くなります。
あとは、リモートデスクトップをはセッションが排他的なのが欠点。
(個人では録画サーバのメンテにVNC/リモートデスクトップ両方使ってますが
リモートデスクトップでは接続時のセッション切り替えなどで負荷が重くなるのか、録画中につなぐと録画がエラーになったりしますので、VNCをメインに。)
というわけで、
使い勝手: pcAnywhere ≒ VNC >> リモートデスクトップ
性能: リモートデスクトップ≒pcAnywhere >> VNC
といった感じなので、Windowsオンリーな立場なら、まだまだpcAnywhere にはそれなりな価値はあると思います。
#とはいっても、pcAnywhereを導入してるのは「普段社内にあまりいないほとんど出向状態な者のPC」1台だけで、
#「遠隔操作できると便利なことがたまにある」程度のPCにはたいていリモートデスクトップかVNCを使ってます。その程度の価値だと言ってしまえばそれまでですが…
pcAnywhereの敵はリモートデスクトップであって、VNCは眼中にないと思うなぁ。
Re: (スコア:0)
>RDPは、対応したサーバー搭載OSを使わないので、論外だと思っています。
RDPサーバ(ログインされる側)はビジネス向けクライアントのOSエディションならずっと標準搭載ですけど。
#業務用にHomeEditionを使うのは論外。
ISDN回線で接続している場合は問題ないでしょうか。 (スコア:0)
ここで質問する内容ではないかもしれませんが・・・
自分の会社ではユーザへのリモートでの保守用にPcAnywhereを利用していますが、ISDN回線を引いもらい、ダイアルアップルーターで接続しています。
ユーザの電話番号を直接指定して接続しているので、INS網のみ経由していると思うのですが、その場合は今回の件で通信内容が傍受される事は無いと
考えてもよいでしょうか。
Re: (スコア:0)
WAN に当たる部分が ISDN だから安全だろうけど、ダイアルアップルータと PC の間のネットワークに細工をされればアウト。