| エンタープライズ:ニュース | 2003/05/29 08:19:00 更新 |
マイクロソフト、IIS 4.0/5.0/5.1用の累積パッチを公開
マイクロソフトは5月29日、IIS 4.0/5.0/5.1向けの累積的な修正プログラム(MS03-018)を公開した。以前の累積パッチで解決した問題に加え、新たに4つの問題を修正する。
マイクロソフトは5月29日、Internet Information Server 4.0(IIS 4.0)/Internet Information Srevices 5.0/5.1(IIS 5.0/5.1)向けの累積的な修正プログラム(MS03-018)を公開した。
同社は2002年10月に、同じくIIS向けの累積的な修正プログラム(MS02-062)を公開している。MS03-018は、MS02-062で修正された問題に加え、新たに4種類のセキュリティホールを修正するものだ。
具体的には、
- リダイレクトされたことを示すエラーメッセージでクロスサイトスクリプティングが発生することがある
- サーバサイドインクルードファイルへのリクエスト処理に脆弱性があり、これを悪用してバッファオーバーフローが発生する可能性がある
- Webクライアントに戻すヘッダーを作成する際、メモリのリクエスト処理に脆弱性があり、これを悪用してサービス妨害(DoS)を仕掛けられる恐れがある
- 過度に長いWebDAVリクエストを受け取った際のエラー処理に問題があり、DoSを仕掛けられる恐れのある問題
という4つの問題に対処している。これらを悪用されれば、IIS自体が異常停止する可能性があるほか、管理者の意図に関係なくアプリケーションやスクリプトが動作させられる可能性がある。
マイクロソフトの判断では、深刻度は「注意」「警告」もしくは「重要」にとどまっており、「緊急」の内容は含まれない。おそらく、リモートから任意のコードを実行できる可能性が低いため、こうした判断になったものと思われる。
しかし、システム内でIISが果たす役割によっては、緊急の対処も求められる。また、クロスサイトスクリプティングの場合、WebサイトもしくはHTML形式の電子メールに含まれるリンクをクリックするといったステップを経る必要があるとはいえ、エンドユーザーに被害を及ぼしかねない点に注意が必要だ。ただ一方で、同社が提供する「IIS Lockdown Tool」を利用すれば、2つめのサーバサイドインクルードおよび4つめのWebDAVの長いリクエストに起因する問題は、ブロックすることができるという。
累積修正プログラムは、Webサイトから入手できるほか、Windows Updateによっても適用できる。適用の際には、Windows NT 4.0にはService Pack 6(SP6)、Windows 2000ではSP2/SP3、Windows XPにはSP1が必要だ。IIS 6.0はこれらの問題の影響は受けない。
関連リンク
日本語要約情報(MS03-018 に関する情報)英語詳細情報(MS03-018: Cumulative Patch for Internet Information Service (811114))[ITmedia]
