|
|
■URL
http://www.microsoft.com/security/bulletins/ms99-061.asp
http://www.microsoft.com/security/bulletins/ms99-058.asp
米Microsoftは21日、WebなどのインターネットサーバーソフトIISについて、セキュリティ問題2点に対する英語版パッチを公開した。対象はIIS 4.0やSite Server 3.0などとされている。
ひとつは「Escape Character Parsing」問題。URLの中で文字を16進コードにして使った場合、IISのアクセスコントロールを避けることができてしまう場合があるというもの。Microsoftの説明によると、IIS自身には影響はないが、その上のアプリケーションに影響する可能性があるという。
もうひとつは「Virtual Directory Naming」問題。仮想ディレクトリ名にある指定がされると、サーバー側でのファイル処理がなされず、ASPファイルのソースなどがアクセスできてしまうというもの。これは管理者のミスや、ソフトによる自動生成でなされる可能性があるという。
(1999/12/22)
[Reported by masaka@impress.co.jp]