～深刻度を“緊急”として、即座にパッチを適用することを推奨

Microsoft、Windows 2000の「IIS 5.0」に任意のコードを実行できる脆弱性

■URL
http://www.microsoft.com/japan/technet/security/bulletin/ms03-007.asp
http://www.microsoft.com/downloads/details.aspx?FamilyID=c9a38d45-5145-4844-b62e-c69d32ac929b&DisplayLang=ja （セキュリティパッチ）
http://www.cert.org/advisories/CA-2003-09.html

　マイクロソフト株式会社やCERT/CCは、Windows 2000の「IIS 5.0」に任意のコードが実行される脆弱性を発見し、深刻度を“緊急”として警告した。現在、マイクロソフトのWebサイト上から対策用のパッチをダウンロードできる。

　この脆弱性は、IIS 5.0が実装しているWebDAV（World Wide Web Distributed Authoring and Versioning）が使用するWindowsコンポーネントに存在する未チェックのバッファが原因となって発生し、攻撃者が任意のコードを実行できるというもの。対象は、IIS 5.0を運用している「Microsoft Windows 2000 Professional」、「Windows 2000 Server」、「Windows 2000 Advanced Server」となる。

　実際に脆弱性が悪用されるのは、IIS 5.0に対して攻撃者が特殊なHTTP要求を送信したとき。この特殊な要求を送信されることにより、攻撃者がサーバーを停止することや、指定した操作を行なうことが可能となる。

　マイクロソフトは、対策としてセキュリティパッチと、修正プログラムの影響を確認する間の一時的な回避策と追加のツールも公開している。回避策は、「IIS Lockdown Tool」と連携して使用する、セキュリティ対策ツール「URLScan」の既定の設定を行なうというもの。しかしながら、この回避策では脆弱性の根本的解決にはなっていないため、同社では可能な限り早い時期に対策用セキュリティパッチを適用することを推奨している。

◎関連記事
■Microsoft、セキュリティー問題に取り組むためのプログラムを開始
■マイクロソフト、IIS用の最新修正プログラムを公開

(2003/3/18)

[Reported by otsu-j@impress.co.jp]