ニュース
MicrosoftがIISの脆弱性を確認、権限昇格の恐れ:WebDAVに存在
MicrosoftがIISの脆弱性についてアドバイザリーを出した。影響を受けるのはバージョン5.0、5.1、6.0。
Microsoft Internet Information Services(IIS)の脆弱性が明らかになった問題で、米Microsoftがこの脆弱性の存在を認め、5月18日付でアドバイザリーを出した。
Microsoftによると、IISのWebDAV拡張機能でHTTPリクエストを処理する方法に権限昇格の脆弱性が存在する。この問題を悪用すると、細工を施した匿名HTTPリクエストを使って、通常なら認証が必要なロケーションにアクセスすることができてしまう。
影響を受けるのはIIS 5.0、5.1、6.0。Microsoftは調査を完了した時点で、月例パッチまたは臨時パッチの配布を含め、適切な措置を取る方針。それまでの回避策として、アドバイザリーではWebDAVを無効にするなどの方法を紹介している。
この問題を突いたエクスプロイトコードが出回り、実際に悪用されているとの情報もあるが、Microsoftは現時点で攻撃は確認しておらず、ユーザーが影響を受けたという報告も入っていないとしている。
関連キーワード
Microsoft(マイクロソフト) | 脆弱性 | IIS(Internet Information Service) | Webサーバ | 権限昇格 | Windows Server
関連記事
- IISに未パッチの脆弱性か、エクスプロイトも出回る
Microsoft Internet Information Services 6(IIS6)の脆弱性情報が公開された。実際に悪用されているとの情報もある。 - Webサーバの堅牢性を改めて考える
インターネットから業務アプリケーションに至るまでWebの活用シーンが広がっている。その土台となるWebサーバには堅牢なセキュリティが求められる。代表的なWebサーバ製品の脆弱性と対応からセキュリティの現状をみていこう。 - 「SQLインジェクション攻撃とIISは無関係」とMicrosoft
Webサーバ攻撃の多発はIISやSQL Serverの脆弱性が悪用されたものではないとMicrosoftは強調している。 - セキュリティ専門家、「Windows Server 2008」のセキュリティ設計に脆弱性を発見
Argenissの創立者であるシーザー・セルード氏が、「Windows Server 2008」に深刻な設計上の脆弱性があることを突き止めた。高いスキルを持つハッカーであれば、これを悪用して同オペレーティングシステムの完全な制御権を奪えるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.