IISセキュリティ問題2件 悪用困難、修正プログラムは簡単 2008年2月12日
IISセキュリティ問題2件 悪用困難、修正プログラムは簡単
危険度: 中
2008年2月12日
【概要】
対象
・IISバージョン7及びそれ以前のバージョン
悪用法
・ルート・ディレクトリーのファイルを変更したり、悪性のASPインプットを送信することで問題を悪用する。
影響
・権限の昇格。 ローカル・ユーザーはコンピューターを完全にコントロールすることができるようになる可能性あり。リモート攻撃者は権限レベルの低いユーザーになる可能性あり。
対策
・都合が付き次第、状況に適したIIS修正プログラムを導入すること。
【問題の詳細】
マイクロソフトがリリースした2件のセキュリティ情報は、IIS(インターネット・インフォメーション・サービス)のバージョン5.1、6.0、7に見られるセキュリティ問題の脆弱性について説明している。各セキュリティ情報はIISのセキュリティ問題について説明しているが、どちらの場合でも、一般的な管理実務で悪用方法を鈍らせたり、攻撃者が利益の少ない結果に向けて努力を費やすように仕向けることができる。 こうした理由からマイクロソフトは、このセキュリティ問題を「緊急」ではなく「重要」としている。 セキュリティ情報の概要は次の通り。
MS08-005:ファイル変更通知の問題
IISは3つのルート・レベル・フォルダー(主にFTPRoot、NNTPFile\Root、WWWRoot)処理問題の影響を受けている。 攻撃者がスクリプトをアップロードし、そうしたディレクトリーのいづれかでスクリプトの実行に成功すると、攻撃者はIISサーバーを完全にコントロールできるようになる可能性がある。 しかし、このセキュリティ問題を悪用するにおいて、攻撃者はサーバーへの被害者のログイン情報を必要とし、脆弱なフォルダーへの書き込み用アクセスも必要となる。XP SP2やWindows Server 2003においては、ディフォルトでは書き込みアクセスが与えられるように設定されていない。実社会において、これにあてはまる状況はごく稀だろう。
マイクロソフトによる危険度:「重要」
MS08-006:ASP問題
ASP(アクティブ・サーバー・ページ)とはスクリプトを含むHTMLページのことで、ユーザーのブラウザーにページを送信する前に、ウェブ・サーバーが実行するものだ。 ウェブ・ディベロッパーは日付や時間など、ウェブ・ページで動的に変わる内容を実行するためにASPを使用することが多い。 ASPページはフォームであることも多く、ユーザーがデータを入力することができる。IISがそのような入力事項を処理する方法に関与する問題は、攻撃者がASP欠陥を誘発することを可能にする。しかし、そのように手の込んだことをしても、攻撃者が獲得できるのはゲスト・ユーザーや権限レベルの低い認証ユーザー権利といった程度である。 更に、この悪用はVistaでは行うことができず、IIS 7でも悪用することができない。Windows Server 2003でもクラシックASPを無効にしておくと、この悪用を行うことができない。こうした理由から、この問題のリスクは低いものと見られる。
マイクロソフトによる危険度:「重要」
【対策】
マイクロソフトはIISを対象に、こうしたセキュリティ問題を修正するプログラムをリリースしている。 都合の良い時に状況に適した修正プログラムをダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意: マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフト製品のライフサイクルに関する情報についてはこちらを参照することをすすめる。
ダウンロード先(日本語版)
MS08-005:
・2000
・XP
・XP 64-bit版
・Server 2003
・Server 2003 64-bit版
・Server 2003 Itanium版
・Vista
・Vista 64-bit版
MS08-006:
・XP
・XP 64-bit版
・Server 2003
・Server 2003 64-bit版
・Server 2003 Itanium版
注意: Windows 2000 SP4、Vista、Server 2008への影響はない。
ウォッチガード・ユーザー:
このセキュリティ問題を悪用するにはポート80が使われるが、ユーザーがWWW(ワールド・ワイド・ウェブ)にアクセスする必要があれば、ポート80をオープンにしておく必要がある。 しかし、ファイル変更通知の問題において1つの攻撃方法はローカルであるため、その攻撃はゲートウェイ・ファイアウォールを通過しないだろう。こうした理由から、先に説明した修正プログラムを適用することが最善策となる。
【ステータス】
マイクロソフトはこうした問題を修正するプログラムをリリースしている。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-005
・マイクロソフトのセキュリティ情報:MS08-006
このアラートはスコット・ピンゾンCISSPにより調査され書かれた記事です。
危険度: 中
2008年2月12日
【概要】
対象
・IISバージョン7及びそれ以前のバージョン
悪用法
・ルート・ディレクトリーのファイルを変更したり、悪性のASPインプットを送信することで問題を悪用する。
影響
・権限の昇格。 ローカル・ユーザーはコンピューターを完全にコントロールすることができるようになる可能性あり。リモート攻撃者は権限レベルの低いユーザーになる可能性あり。
対策
・都合が付き次第、状況に適したIIS修正プログラムを導入すること。
【問題の詳細】
マイクロソフトがリリースした2件のセキュリティ情報は、IIS(インターネット・インフォメーション・サービス)のバージョン5.1、6.0、7に見られるセキュリティ問題の脆弱性について説明している。各セキュリティ情報はIISのセキュリティ問題について説明しているが、どちらの場合でも、一般的な管理実務で悪用方法を鈍らせたり、攻撃者が利益の少ない結果に向けて努力を費やすように仕向けることができる。 こうした理由からマイクロソフトは、このセキュリティ問題を「緊急」ではなく「重要」としている。 セキュリティ情報の概要は次の通り。
MS08-005:ファイル変更通知の問題
IISは3つのルート・レベル・フォルダー(主にFTPRoot、NNTPFile\Root、WWWRoot)処理問題の影響を受けている。 攻撃者がスクリプトをアップロードし、そうしたディレクトリーのいづれかでスクリプトの実行に成功すると、攻撃者はIISサーバーを完全にコントロールできるようになる可能性がある。 しかし、このセキュリティ問題を悪用するにおいて、攻撃者はサーバーへの被害者のログイン情報を必要とし、脆弱なフォルダーへの書き込み用アクセスも必要となる。XP SP2やWindows Server 2003においては、ディフォルトでは書き込みアクセスが与えられるように設定されていない。実社会において、これにあてはまる状況はごく稀だろう。
マイクロソフトによる危険度:「重要」
MS08-006:ASP問題
ASP(アクティブ・サーバー・ページ)とはスクリプトを含むHTMLページのことで、ユーザーのブラウザーにページを送信する前に、ウェブ・サーバーが実行するものだ。 ウェブ・ディベロッパーは日付や時間など、ウェブ・ページで動的に変わる内容を実行するためにASPを使用することが多い。 ASPページはフォームであることも多く、ユーザーがデータを入力することができる。IISがそのような入力事項を処理する方法に関与する問題は、攻撃者がASP欠陥を誘発することを可能にする。しかし、そのように手の込んだことをしても、攻撃者が獲得できるのはゲスト・ユーザーや権限レベルの低い認証ユーザー権利といった程度である。 更に、この悪用はVistaでは行うことができず、IIS 7でも悪用することができない。Windows Server 2003でもクラシックASPを無効にしておくと、この悪用を行うことができない。こうした理由から、この問題のリスクは低いものと見られる。
マイクロソフトによる危険度:「重要」
【対策】
マイクロソフトはIISを対象に、こうしたセキュリティ問題を修正するプログラムをリリースしている。 都合の良い時に状況に適した修正プログラムをダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意: マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフト製品のライフサイクルに関する情報についてはこちらを参照することをすすめる。
ダウンロード先(日本語版)
MS08-005:
・2000
・XP
・XP 64-bit版
・Server 2003
・Server 2003 64-bit版
・Server 2003 Itanium版
・Vista
・Vista 64-bit版
MS08-006:
・XP
・XP 64-bit版
・Server 2003
・Server 2003 64-bit版
・Server 2003 Itanium版
注意: Windows 2000 SP4、Vista、Server 2008への影響はない。
ウォッチガード・ユーザー:
このセキュリティ問題を悪用するにはポート80が使われるが、ユーザーがWWW(ワールド・ワイド・ウェブ)にアクセスする必要があれば、ポート80をオープンにしておく必要がある。 しかし、ファイル変更通知の問題において1つの攻撃方法はローカルであるため、その攻撃はゲートウェイ・ファイアウォールを通過しないだろう。こうした理由から、先に説明した修正プログラムを適用することが最善策となる。
【ステータス】
マイクロソフトはこうした問題を修正するプログラムをリリースしている。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-005
・マイクロソフトのセキュリティ情報:MS08-006
このアラートはスコット・ピンゾンCISSPにより調査され書かれた記事です。