[sitemcis]ファイル ビューアの脆弱性に対する解決策

文書翻訳 文書翻訳
文書番号: 231368 - 対象製品
この記事は、以前は次の ID で公開されていました: JP231368
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

現象

弊社では、Site Server および Internet Information Server に含まれている一部のファイル ビューアで発生する脆弱性を確認しました。

Web サイトの訪問者が各ファイルの名前を推測でき、Windows NT アクセス制御リスト (ACL) に基づいたファイル アクセス権を持っている場合、この脆弱性により、Web サイトの訪問者は、サーバー上のファイルを見ることができます。しかしながら、変更することはできません。

原因

ファイル ビューア ツールが、ユーザーが見ることのできるファイルを制限しないことが原因です。

解決方法

Site Server 3.0
~~~~~~~~~~~~~~~
この問題を解決するには、Site Server 3.0 の最新のサービスパックを適用してください。
最新のサービスパックは以下のサイトから入手可能です。
http://www.microsoft.com/japan/SiteServer/servicepack/default.htm

この問題は、Site Server 3.0 Service Pack 3 ではじめて修正されました。

IIS 4.0
~~~~~~~
この問題に対する修正モジュールを作成いたしました。このモジュールは以下サイトより入手可能です。
ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/jpn/Viewcode-fix/

この修正モジュールに関する詳細につきましては、下記のサポート技術情報をご覧ください。
文書番号 : 232449
タイトル : [IIS]サンプルの ASP コードがサーバーファイルの表示に使用される

回避策

Web サーバー上で、これらのファイル ビューアが原因で発生する脆弱性を除去するには、次のような方法を用いてください。

- Web サイト上で特に必要でないかぎり、影響を受けるファイル ビューアを削除します。影響を受けるファイル ビューアは、ViewCode.asp、ShowCode.asp、CodeBrws.asp、Winmsdp.exe です。インストール状態によっては、サーバー上にこれらのファイルがすべて存在するとは限りません。ファイルによっては、複数のコピーが存在する場合もあるため、サーバーの完全な検索を行なって、すべてのコピーを探してください。
標準のセキュリティ ガイドラインに従って、ファイル アクセス権は、常に、Web 訪問者がアクセスする必要があるファイルだけになるように設定してください。Web 訪問者が必要とするファイルは、必要最低限のアクセス権を提供するべきです。たとえば、Web 訪問者が読み取りだけ必要で書き込みの必要がないファイルは、読み取り専用に設定するべきです。
- 一般的なルールとして、サンプル ファイルや仮想ルート (vroot) は常に、Web サーバーの運用を開始する前に Web サーバーから削除するべきです。サンプル ファイルや vroot が必要な場合は、ファイル アクセス権を使用して、それらに対するアクセスを適宜規制してください。

詳細

Site Server および IIS には、Web サイト訪問者がサーバー上の選択されたファイルを見ることを可能にするツールが含まれています。これらのツールは Site Server にはデフォルトでインストールされますが、IIS は明示的にインストールしなければなりません。これらのツールは、ユーザーがサンプル ファイルのソース コードを練習問題として見ることができるように提供されているものであり、実際に運用する Web サーバーに導入するためのものではありません。この脆弱性の根本にある問題は、Web サイト訪問者が見ることのできるファイルをツールが制限しないということです。

次の重要点に注意してください。

- これらのファイル ビューアは、IIS にはデフォルトではインストールされません。これらが IIS にインストールされるのは、サンプル Web ファイルをインストールするように選択をした場合のみです。

- この脆弱性により、Web サイト訪問者が可能になるのは、ファイルを見ることだけです。ファイルを変更したり、サーバーにファイルを追加したりする機能はありません。

- この脆弱性により、Windows NT ファイル アクセス権の ACL がバイパスされることはありません。Web サイト訪問者がこれらのツールを使用して見ることができるのは、ACL により読み取りアクセス権が許可されているファイルのみです。Web サーバーの管理者は、サーバー上の全ファイルに対して特定のアクセス権を設定してください。

- ビューアは、現在表示されている Web ページと同じパーティション上のファイルを見るためだけに使用できます。電子商取引 (コマース) サーバーが使用しているようなデータベースは、通常、別の物理的ドライブ上に格納されており、危険にさらされることはありません。

- Web サイト訪問者は、見たいファイルのそれぞれの名前を知っているか、または推測できる必要があります。

関連情報

- マイクロソフトセキュリティ情報 MS99-013 "Solution Available for File Viewers Vulnerability" (英語情報)

http://www.microsoft.com/technet/security/bulletin/MS99-013.asp


関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 231368 (最終更新日 2001-07-17) をもとに作成したものです。

プロパティ

文書番号: 231368 - 最終更新日: 2014年2月23日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
キーワード:?
kbnosurvey kbarchive kbhotfixserver kbpending kbprb アタック セキュリティ ソース ビュー 攻撃 KB231368
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com