ITmedia NEWS >
セキュリティ >
MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題
» 2009年12月25日 09時18分 公開
[ITmedia]
SANS Internet Storm Centerは12月24日、MicrosoftのInternet Information Services(IIS)に、ファイル拡張子の処理に関する脆弱性が見つかったと伝えた。リスクはそれほど高くないとみられるが、Microsoftの公式パッチが公開されるまでの間、回避策を取るよう呼び掛けている。
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。
仏VUPENによれば、この脆弱性はIIS 5.xと6.xに存在する。深刻度は4段階で下から2番目に低い「Moderate」と評価。デンマークのセキュリティ企業Secuniaの深刻度評価も5段階で下から2番目の「Less critical」となっている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
IIS狙いのゼロデイ攻撃発生、MSがアドバイザリー更新
IISの未解決の脆弱性を突く「限定的な攻撃」が発生した。
Microsoft、IISの脆弱性に対するアドバイザリーを公開
MicrosoftはIISの未解決の脆弱性に関するアドバイザリーを公開して、回避策の実施を呼び掛けている。
MicrosoftのIISに未解決の脆弱性、エクスプロイトも公開
セキュリティ研究者がIISの未解決の脆弱性を突くエクスプロイトを公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。