IIS向けの累積修正プログラムが公開,順番に注意しながら適用を
| 【国内記事】 | 2002.4.11 |
マイクロソフトは4月10日,Internet Information Server/Serivce(IIS)向けの累積的な修正プログラム(MS02-018)を公開した。この修正プログラムは,これまでに公開されたすべてのパッチが含まれているほか,新たに10個のセキュリティ上の脆弱点を修正するものだ。
MS02-018で新たに修正される問題点は,バッファオーバーフローを引き起こす可能性があるものが5種類。さらに,DoS(サービス拒否)の引き金になりかねない問題が2種類,クロスサイトスクリプティング問題に関するものが3種類だ。
バッファオーバーフローに関する問題では,攻撃者がサーバをダウンさせたり,悪くすればサーバ上のプログラムを実行できてしまう可能性がある。またクロスサイトスクリプティング問題が悪用されれば,アクセスしてきたエンドユーザーに被害が及ぶ。いずれも非常に深刻なものだ。10個の問題点のうち4つについては,マイクロソフトも深刻度を「高」としている。
したがって,細かな説明はともかく,Windows NT 4.0/2000/XP上でIIS4.0,もしくはIIS 5.0/5.1を稼働させているユーザーは,速やかにパッチをダウンロードし,適用すべきだ。現在公開されているのはPC/AT互換機向けのパッチで,以下から入手できる。
| ・IIS 4.0+Windows NT 4.0用(Service Pack 6aの適用が必要) |
ただし,NEC PC-9800シリーズ向けのIIS 5.0用パッチは,4月11日午後7時時点ではまだ公開されていない。マイクロソフトでは現在,その準備を進めているということなので,このプラットフォームのユーザーは,逐次同社サイトで情報を確認することをお勧めする。
このパッチは,MS01-044で提供された修正プログラムを含むものだが,過去にIIS 4.0向けに公開された「MS00-028」「MS00-025」「MS99-025」「MS99-013」は含まれていないので,別途適用する必要がある。
さらに,Front Page Server ExtensionsやIndex Server向けの修正プログラム(MS01-043,MS01-025,MS00-084,MS00-063,MS00-006)も含まれていない。これらを利用していなければ別だが,稼動させている場合には,やはり別途適用する必要がある。
マイクロソフト日本法人に確認したところ,11日午後6時の時点では,MS02-018の適用が原因となり,何らかのトラブルが発生したというケースは寄せられていないという(まだ公開されてから丸1日も経過していないため,もっともかもしれないが)。
同社は,ユーザーにはぜひ,「公開している情報を確認し,SPも含めて適用の順番に気を付けながら,速やかにパッチを適用してほしい」(同社広報)としている。
さらに万全を期すならば,IIS Lockdown Tool 2.1を利用して不必要なサービスを停止させたり,URLScan 2.0によって,IISに対するURLリクエストをフィルタリングすることも,防御を固める手段となる。
なお,まだ編集部ではベースラインXMLファイルの状況を確認できていないが,改めてHFNetChk,および数日前に公開された,GUI版のパッチ適用状況確認ツール「Microsoft Baseline Security Analyzer」を用いて,パッチがきちんと適用されているか,また設定ミスがないかを確認しておくほうが望ましいだろう。
なおマイクロソフトでは,この累積パッチを,Windows 2000 Service Pack 3,ならびにWindows XP Service Pack1に組み込む予定という。
関連リンク
マイクロソフトによる要約情報「MS02-018 に関する情報」
マイクロソフトによる詳細情報「Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)」
[高橋睦美 ,ITmedia]
