|
■URL
http://www.microsoft.com/japan/technet/security/bulletin/ms02-018.asp?frame=true
http://online.securityfocus.com/archive/1/266865
マイクロソフトは10日、Webサーバーソフト「Internet
Information Services」(IIS)に新たに確認された10件のセキュリティホールを修正する累積パッチを公開した。最大深刻度は「高」で、最も深刻なセキュリティホールを悪用すると、攻撃者により任意のコードをサーバーで実行される可能性がある。この問題の影響を受けるのは、IISのバージョン4.0、5.0および5.1で、同社では、直ちにパッチを当てるよう呼びかけている。
新たに見つかった主な問題点は次の通り
・IISの「Active Server Page(ASP)」に関連するバッファのオーバーラン
・ASPデータ転送メカニズムに存在する脆弱性
・特定の場合にIISがHTTPヘッダー情報を処理する方法に関連するバッファのオーバーラン
・サーバー側インクルード中に実行されるセーフティチェックのエラーが原因となって 発生する脆弱性
・IISのFTPサービスが状態リクエストを処理する方法に関連するサービス拒否の脆弱性
・IISに影響を及ぼすクロスサイトスクリプティング(CSS)の3つの脆弱性など
新たに公開されたパッチは、これまでに公開された全てのパッチを含むとともに、今回確認された10件のセキュリティホールを修正するパッチを含む累積パッチ。IIS 5.0用のパッチは「Windows 2000 Service Pack 3」に、IIS 5.1用のパッチは「Windows XP Service Pack 1」に含まれる予定だ。
なお、セキュリティ専門誌サイトSecurityFocusに寄せられた報告によると、環境によっては、このパッチを当てることにより不具合が生じる場合があるという。深刻なセキュリティホールを修正するか、パッチを当てて新たな問題を引き起こすか、これらの解決には「Apache」などの他のWebサーバーソフトへ乗り換えることも方法の一つだ。
(2002/4/11)
[Reported by hiro@nakajima-gumi.net]