リビング+:ニュース |
2003/05/29 15:06:00 更新 |
マイクロソフト、IISの累積的な修正ファイルを公開
マイクロソフトは、Internet Information Server 4.0とInternet Information Service 5.0および5.1の3製品について、最新版の累積的な修正ファイルの配布を開始した。前回の累積パッチの内容に加え、あらたな脆弱性への対応が含まれている。
あらたに対策された脆弱性は4点で、クロスサイトスクリプティング脆弱性(IIS4.0、5.0、5.1)、サーバサイドインクルード(SSI)機能のバッファオーバーラン(IIS5.0)、ASPヘッダ生成に関するサービス拒否攻撃(IIS4.0、5.0)、WebDAVに関するサービス拒否攻撃(IIS5.0、5.1)が対策されている。
このうち、もっとも深刻度が高いとされているのはWebDAVについてのサービス拒否攻撃で「重要」とされている。なお、SSIのバッファオーバーランについては任意のコードを外部から実行されるおそれがあるが、Lockdown toolのデフォルト設定でSSIが使えない設定にされていることや、獲得できる権限がユーザレベルであるため「重要」より一段低い「警告」になっている(とはいえ、SSIが有効になっていれば影響は受ける)。
IISでサーバを運営しているユーザは、Windows Updateなどで対応を行って欲しい。
関連リンク
マイクロソフト
[記事提供:RBBTODAY]