Telerik Analytics Monitor ライブラリは、アプリケーション使用に関するメトリクス情報を収集するためのアプリケーション使用解析サービスです。特定のバージョンの Telerik Analytics Monitor ライブラリには、DLL ハイジャックが可能な脆弱性が存在するため、ライブラリを実装するアプリケーションのコンテキストで任意のコードをロードさせられる可能性があります。 プロセスの制御 (CWE-114) CWE-114: Process Control https://cwe.mitre.org/data/definitions/114.html Telerik Analytics Monitor ライブラリは、アプリケーションに統合する DLL として提供されています。このライブラリは、HTTPS 通信をサポートする目的で、独自にビルドした OpenSSL を含んでいます。 本脆弱性は、2014年8月3日にリリースされた Telerik Analytics Monitor ライブラリ バージョン 3.2.96 において作りこまれました。このバージョンでは、OpenSSL ライブラリが暗号化演算ハードウェアをサポートする形でビルドされており、関連する DLL を実行時にロードしようとします。具体的には、4つの DLL (sunsapi.dll、swift.dll、nfhwcrhk.dll、surewarehook.dll) をロードしようとしますが、これらは Telerik からは提供されていません。本脆弱性の影響を受ける Telerik Analytics Monitor ライブラリのファイル名は、EQATEC.Analytics.Monitor.Win32_vc100.dll (32-bit 版システム向け) と EQATEC.Analytics.Monitor.Win32_vc100-x64.dll (64-bit 版システム向け) です。 なお、National Vulnerability Database (NVD) では、CWE-426 として公開されています。 補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html

[アップデートする] 本脆弱性は Telerik Analytics Monitor ライブラリ バージョン 3.2.125 で対策されています。バージョン 3.2.125 以降では OpenSSL が暗号化演算ハードウェアのサポートを無効にしてビルドされており、実行時に DLL がロードされることはありません。 Telerik Analytics Monitor ライブラリ バージョン 3.2.125 http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-3.2.125 開発者は、バージョン 3.2.129 にアップデートすることを推奨しています (バージョン 3.2.125 より後で発生した問題も修正されているため)。 バージョン 3.2.129 http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-v3.2.129