エンタープライズ:ニュース 2003/05/01 18:09:00 更新


BizTalk Serverに2つの脆弱性−深刻度は「重要」および「警告」

マイクロソフトは5月1日、BizTalk Server 2000およびBizTalk Server 2002の脆弱性について発表した。BizTalk ドキュメント トラッキング管理(DTA)における脆弱性では、攻撃者が選択したコードが実行されてしまう可能性もある。

 新たに報告されたBizTalk Serverの脆弱性は2点。BizTalk Server2002にはHTTP形式を使用して文書を交換する機能があるが、この受け渡しコンポーネントにバッファオーバーランの脆弱性があり、攻撃者が選択したコードが実行される可能性があるとのこと。HTTP受信機能はデフォルトでは有効になっていないが、確認のうえアップデータを適用する必要があるだろう。

 もうひとつの脆弱性は、BizTalk Server2000/2002の両方に存在するものだ。BizTalk Serverでは、「BizTalk ドキュメント トラッキング管理」(DTA)を介して文書を管理できるが、DTAにより使用されるページのいくつかに、SQLインジェクションの脆弱性が存在する。不正なURLクエリ文字列をDTAの実行ユーザーに送り、ユーザーがURLに移動すると、攻撃者が埋め込んだ悪質なSQLステートメントを実行する可能性があるというものだ。

 ちなみに、パッチ適用後には再起動する必要はないようだが、BizTalk Server 2002では、交換されているファイルが開いている場合、ファイルが安全に更新されるようにシステムの再起動を求めるメッセージが表示される。

関連リンク
▼BizTalk Server 2000修正プログラム
▼BizTalk Server 2002修正プログラム
▼BizTalk Server 用の累積的な修正プログラム (815206) (MS03-016)

[ITmedia]