ニュース
IISに未パッチの脆弱性か、エクスプロイトも出回る:情報漏えいなどの恐れ
Microsoft Internet Information Services 6(IIS6)の脆弱性情報が公開された。実際に悪用されているとの情報もある。
米US-CERTは5月18日、Microsoft Internet Information Services 6(IIS6)の脆弱性情報が公開され、エクスプロイトコードが出回っていると伝えた。
IIS6の脆弱性情報についてはSANS Internet Storm Centerやセキュリティ企業のSecuniaも報告している。各社の情報を総合すると、脆弱性は、認証が必要なディレクトリのWebDAVリクエストを処理する際のエラーに起因する。
この問題を悪用すると、特定のUnicode文字をURLに付け加えることによってフォルダのアクセス制限をかわすことが可能になり、リモートの攻撃者が重要情報を入手したり、任意のファイルをアップロードすることが可能になる。
脆弱性はIIS6に存在するとされ、Secuniaは完全にパッチを当てたWindows XP SP3上のIIS 5.1でも確認したと報告している。Secuniaの深刻度評価は5段階で中程度の「Moderately critical」となっている。
この問題を突いたエクスプロイトコードが出回り、実際に悪用されているとの情報もあるが、Microsoftの公式パッチはまだ公開されていない。
関連キーワード
IIS(Internet Information Service) | 脆弱性 | Webサーバ | Microsoft(マイクロソフト) | US-CERT | 情報漏洩 | Windows Server
関連記事
- Webサーバ「100年の大計」を考えたプラットフォーム選択
「100年に一度」といわれる深刻な経済危機の中、ITプラットフォームにおいても将来を見据えた選択が重要だ。 - Webサーバの堅牢性を改めて考える
インターネットから業務アプリケーションに至るまでWebの活用シーンが広がっている。その土台となるWebサーバには堅牢なセキュリティが求められる。代表的なWebサーバ製品の脆弱性と対応からセキュリティの現状をみていこう。 - 最新のインターネットAPサーバ「IIS 7.0」の実力を探る
Windows Server "Longhorn"には、最新のインターネットサーバ機能「Internet Information Services 7.0(IIS 7.0)」が搭載されている。モジュール構造のアーキテクチャを採用したことで、より安定性に優れ、堅牢なサーバを構築できるようになった――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.