INTERNET Watch Title Click

【セキュリティ】

IISで特定の形式のリクエストでハングアップの可能性、パッチ公開

■URL
http://www.microsoft.com/security/bulletins/ms99-029.asp (報告)
http://www.microsoft.com/security/bulletins/ms99-029faq.asp (解説)
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/HDBRK-fix/ (英語版パッチ)
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/jpn/security/HDBRK-fix/ (日本語版パッチ)

 Microsoftは、WWWを中心とするインターネットサーバーソフト「Internet Information Server(IIS)4」のセキュリティホールを報告し、英語版や日本語版などのパッチを公開した。

 このセキュリティホールは、IISのHTTPサービスに対し、特定の形式でリクエストを送ることにより、システムのメモリーを消費させ、ハングアップ(DoS)させることが可能というもの。IIS 4のほか、それを含む「Site Server」や「Commerce Internet Server」製品で起こる必要があるという。

 なお、このセキュリティホールは11日に報告され、パッチが一度公開されたが、パッチ自体のバグにより16日に再度リリースされたもの。一般にパッチやアップデートでは、別のバグを招く可能性もあるので、インストールは注意とテストの上で行ないたい。

('99/8/17)

[Reported by masaka@impress.co.jp / ymasa@wizvax.net]


INTERNET Watchホームページ

ウォッチ編集部INTERNET Watch担当internet-watch-info@impress.co.jp