編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

マイクロソフトがIISの脆弱性に関するアドバイザリを公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-05-20 03:11

 Microsoftは、IIS 5.0から6.0に影響のある未パッチの脆弱性を標的にした攻撃コードが公開されたことに対応する、セキュリティ対応プロセスを始動した。

 同社は、この脆弱性について認め、顧客に対し問題の緩和策を提供する、公式なパッチ前アドバイザリを公開した。

 インターネット インフォメーション サービス (IIS) に存在する可能性のある新たな脆弱性が報告され、マイクロソフトはその報告を調査中です。IIS の WebDAV 拡張が HTTP のリクエストを処理する方法に特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、特別に細工した匿名の HTTP リクエストを作成し、通常は認証が必要な場所へアクセスできる可能性があります。

 マイクロソフトは現時点で、この報告された脆弱性を悪用しようとする攻撃またはお客様が影響を受けたという報告を受けていません。マイクロソフトは、この一般に公開された報告を調査しています。

 影響のあるソフトウェアは以下の通りだ。

  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0

 Microsoftのアドバイザリが公開されたのは、「Kingscope」として知られるハッカーが、いくつかのメーリングリストにこの脆弱性の詳細(.PDF)を公開してからわずか数日後だ。

 Thierry Zoller氏は、この問題に関して詳細な覚え書きを作っている。

  1. WebdavはデフォルトではIIS6では有効になっておらず、IIS7+Webdavには影響がない。
  2. IIS 5とIIS 5.1には、どちらも影響がある。
  3. Webdavを有効にするとすべてのウェブサイトに適用され、サイトごとに有効にする必要はない。
  4. WebdavのフォルダにIUSR_anonymousの書き込みアクセス権が設定されている場合、そのウェブサーバに実際にコンテンツをアップロードすることができる。(このアカウントが他のフォルダに対するアクセス権を持っている場合、それらのフォルダにもアップロードすることができる)
  5. この問題は、2001年のIIS 4/5に関するUnicodeバグに似ているが、まったく同じではない。
  6. GETリクエストには「Translate:f」ヘッダが必要であり、PROPFINDはTranslateオプションなしでも動作する。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]