ASP.NETに脆弱性、保護されたコンテンツを漏洩させる恐れ

Webアプリケーションフレームワークの「ASP.NET」に、セキュリティ制限をかいくぐって保護されたはずの情報を漏洩させる恐れのある脆弱性が存在する。

[ITmedia]

　マイクロソフトは10月5日、Webアプリケーションフレームワークの「ASP.NET」に、セキュリティ制限をかいくぐって重要なコンテンツを漏洩させる可能性のある脆弱性が存在することを認め、調査を開始した。

　この脆弱性は、今年9月にセキュリティ関連メーリングリスト「NTBugtraq」で指摘されていたもの。.NETの認証スキーマに正規化エラーの問題が存在しており、細工を施したURLを送りつけることで、保護されたディレクトリへのアクセスが可能になるという。本来ならば閲覧されるべきでないコンテンツが表示され、情報漏洩につながる恐れがある。

　この問題は、Windows 2000／XP、Windows Server 2003とIISを組み合わせ、ASP.NETを用いてコンテンツを公開しているWebサイトに影響を及ぼす。

　マイクロソフトではパッチ提供に向けた準備を進めているというが、10月8日時点ではまだパッチは公開されていない。しかし、代替策としてGlobal.asaxファイルにApplication_BeginRequest イベント ハンドラを追加し、URLの文字列チェックを行うようにASP.NETアプリケーションを修正する方法が公開されているため、この対策を取っておくことが望ましい。