正規化エラー問題の修正プログラムのリリース

文書翻訳 文書翻訳
文書番号: 269862 - 対象製品
この記事は、以前は次の ID で公開されていました: JP269862
すべて展開する | すべて折りたたむ

目次

現象

正規化 (canonicalization) エラーを解決するセキュリティ修正プログラムがリリースされました。この正規化エラーが悪意のあるユーザーによって利用されると、Web サーバー上にホストされているある種のファイルに対してさまざまなアクセス権を追加取得できる場合があります。

この脆弱性を悪用するには、さまざまな条件が成立する必要があります。
  • この脆弱性の影響を受けるのは、ISAPI 拡張を使用して実装されたファイルの種類に限られます。静的な Web ページ、あるいは .exe、.doc、.bat などの非 Web ファイルはこの脆弱性の影響を受けません。
  • この脆弱性の影響を受けるのは、Web フォルダの構成が、サーバー上の物理フォルダの構成に対してミラーリング状態になっているサーバーに限られます。仮想ディレクトリは、この脆弱性によって影響を及ぼされることはありません。
  • この脆弱性を利用して任意のアクセス権を取得することはできません。取得できるのは上位のフォルダで指定されているアクセス権に限られます。
  • この脆弱性によって影響を受ける可能性があるサーバーに対して、ファイルを一覧したり、ファイルの位置を特定することはできません。
このほかのセキュリティ修正プログラムによって修正される脆弱性に関しては、次の Microsoft Knowledge Base に記載されています。
276489 Web サーバー フォルダへの侵入の脆弱性を解決する修正プログラム

解決方法


Internet Information Services 5.0

この問題を解決するためのモジュールは、次の Web サイトから入手できます。
注 : これらの個別モジュールは、特定のユーザー先において発生する特定の障害・問題を回避するためのモジュールであり、広範なテストが行われたものではありません。したがって、この対応モジュールを適用するのは、実際に、該当する障害・問題の発生している機種に限定されるようお願いいたします。この問題が重大な影響を与えない限りは、この修正を含むサービスパックを使用することをお勧めします。
http://www.asia.microsoft.com/japan/products/ntupdate/fixlist_tmp/prod_home.asp?prod=4&name=Windows%202000
各ファイルのタイムスタンプは次をご参照ください。
   日付          時刻     バージョン      サイズ    ファイル名  プラットフォーム
   -------------------------------------------------------------
   09-11-2000  2:36pm  5.0.2195.2103  357,136  W3svc.dll  x86
   09-11-2000  2:38pm  5.0.2195.2103  357,136  W3svc.dll  NEC

Internet Information Server 4.0

この問題を解決するためのモジュールは、次の Web サイトから入手できます。
注 : これらの個別モジュールは、特定のユーザー先において発生する特定の障害・問題を回避するためのモジュールであり、広範なテストが行われたものではありません。したがって、この対応モジュールを適用するのは、実際に、該当する障害・問題の発生している機種に限定されるようお願いいたします。この問題が重大な影響を与えない限りは、この修正を含むサービスパックを使用することをお勧めします。
http://www.asia.microsoft.com/japan/products/ntupdate/fixlist_tmp/prod_home.asp?prod=2&name=Windows%20NT4.0
各ファイルのタイムスタンプは次をご参照ください。
   日付          時刻     サイズ    ファイル名    プラットフォーム
   ---------------------------------------------------
   08/03/2000  07:58p  330,080  Asp.dll        x86
   08/03/2000  07:58p  185,792  Infocomm.dll   x86
   08/03/2000  07:58p   38,768  Ssinc.dll      x86
   08/03/2000  05:05p   25,360  Sspifilt.dll   x86
   08/03/2000  07:59p  228,496  W3svc.dll      x86

   08/03/2000  09:02p  551,696  Asp.dll        Alpha
   08/03/2000  09:02p  304,912  Infocomm.dll   Alpha
   08/03/2000  09:03p   60,688  Ssinc.dll      Alpha
   08/03/2000  05:07p   39,696  Sspifilt.dll   Alpha
   08/03/2000  09:03p  384,272  W3svc.dll      Alpha

状況

弊社では、これが Internet Information Services 5.0 および Internet Information Server 4.0 にかかわる問題であることを確認済みです。

詳細

この問題の関連情報については、次の Microsoft Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-057
この脆弱性に関してよく寄せられる質問については、次の Microsoft Web サイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/fq00-057.mspx

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 269862 (最終更新日 2000-10-18) を基に作成したものです。

プロパティ

文書番号: 269862 - 最終更新日: 2003年8月25日 - リビジョン: 2.2
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
キーワード:?
kbbug kbfix nt4postsp6afix win2000postsp1fix win2000sp2fix KB269862
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com