|
|
■URL
http://www.microsoft.com/security/bulletins/ms99-022.asp
http://www.microsoft.com/security/bulletins/MS99-022faq.asp (解説)
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/jpn/security/fesrc-fix/ (日本語版パッチ)
Microsoftは24日、WWWを中心とするインターネットサーバーソフト「Internet Information Server(IIS)」について、日本語など2バイト文字環境でのセキュリティ問題を報告し、パッチを公開した。
この問題は、IIS 3/4が対象。サーバーのデフォルトの文字コードとして日本語や中国語、韓国語などの2バイト文字コードが設定されている場合、特定の書式のURLを用いることでIISのファイル種別の認識をバイパスし、目的のファイルをテキストとしてダウンロードできてしまうという。例えばこれにより、.aspファイルのソースコードを入手できてしまう。デフォルトに2バイト文字コードが設定されていれば、英語版IISでも同様なことが起こりうるという。
('99/6/25)
[Reported by masaka@impress.co.jp / ymasa@wizvax.net]