ニュース

IIS 6.0のWebDAVコンポーネントにパッチ未提供のバッファオーバーフロー脆弱性、トレンドマイクロが注意喚起

Windows Server 2003 R2/2003などに影響

 トレンドマイクロは、Windows Server 2003 R2/2003などが搭載している「IIS(Internet Information Services)6.0」のWebDAVコンポーネントに、バッファオーバーフローの脆弱性「CVE-2017-7269」が確認されたとの情報を公式ブログで告知し、注意を喚起している。

 CVE-2017-7269は、PROPFINDリクエストのヘッダー「IF」の検証不備に起因するもの。攻撃者により、メソッド「PROPFIND」を用いて細工されたリクエストが送信されることで、リモートから任意のコードが実行される可能性がある。また、脆弱性が悪用できなかった場合でも、サービス拒否(DoS)の状態に陥る可能性があるという。

 IIS 6.0を搭載しているWindows Server 2003 R2/2003は2015年7月15日、同じくIIS 6.0搭載の「Windows XP Professional x64 Edition」は2014年4月8日にサポートがに打ち切られており、この脆弱性を修正する更新プログラムは公開されない可能性が高い。

 このためトレンドマイクロでは、IIS 6.0のWebDAVサービスを無効にすることを推奨している。なお、IIS 6.0はデフォルトでは無効となっている。また、IIS 7.0以降は、脆弱性の影響を受けない。

 脆弱性を発見し、その情報と実証コードをGitHubで3月27日に公開した中国・華南理工大学のZhiniang Peng氏とChen Wu氏によれば、2016年7~8月に、この脆弱性を悪用した攻撃が確認されているという。

 トレンドマイクロでは、公開されたコードを悪用し、サイバー犯罪者がエクスプロイトキットの作成を行っている段階にあると指摘している。