[MS00-084] インデックス サービスの脆弱性に対する修正プログラム

文書翻訳 文書翻訳
文書番号: 278499 - 対象製品
この記事は、以前は次の ID で公開されていました: JP278499
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

現象

Microsoft は、Windows 2000 および Windows NT 4.0 のインデックス サービスの Webhits コンポーネント (Webhits.dll) に関連するセキュリティの脆弱性を排除する修正プログラムをリリースしました。この脆弱性が発生するのは、ユーザーが、クエリ テキストとの一致部分を強調表示するのに代わりの HTML を指定できる機能が、インデックス サービスに含まれるためです。この機能を使うことにより、ユーザーは、.htw ファイルへのパラメータとして、生の HTML を渡すことができます。この HTML を使わないようにしたり、探し出したりする方法はありません。このため、ユーザーは HTML に埋め込まれたスクリプトを送信することができます。この脆弱性は、クロスサイト スクリプティング (CSS) として知られています。CSS の詳細については、「詳細」を参照してください。

注 : Indexing Service は Windows 2000 に同梱され、インストールされています。しかし、デフォルトでは有効ではありません。Windows 2000 で Web サーバーを動作し、Indexing Service を有効にしているユーザーは早急にこの修正プログラムをインストールして下さい。 Windows NT 4.0 向けのインデックス サーバーは、NT Option Pack に同梱され、既定ではインストールされません。

解決方法

Windows 2000

この問題を解決するには、Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

修正ファイル (日本語版) の属性は次のとおりです。ただし、これより新しい修正ファイルがリリースされている可能性もあります。

   日付         時刻      サイズ    ファイル名   プラットフォーム
   -----------------------------------------------------------
   11/03/2000 09:07    42,768  Webhits.dll   PC/AT 互換機
   11/03/2000 09:10    42,768  Webhits.dll   NEC PC-9800 シリーズ

Windows NT 4.0

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。

すべての言語 (NEC PC-9800 シリーズおよび中国語 (香港) 版を除く)
元に戻す画像を拡大する
 ダウンロード
278499 パッケージ
NEC PC-9800 シリーズ
元に戻す画像を拡大する
 Download
278499 パッケージ
中国語 (香港) 版
元に戻す画像を拡大する
  ダウンロード
278499 パッケージ
リリース日 : 2003 年 4月 9 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正ファイル (日本語版) の属性は次のとおりです。ただし、これより新しい修正ファイルがリリースされている可能性もあります。
   日付         時刻      サイズ    ファイル名   プラットフォーム
   -----------------------------------------------------------
   2003/02/25  18:09 5.0.1782.5 44,752 Webhits.dll PC/AT 互換機
   2003/02/25  18:17 5.0.1782.5 44,752 Webhits.dll NEC PC-9800 シリーズ

状況

弊社ではこの問題を、この資料の冒頭に記載した Microsoft 製品の問題として認識しております。 この問題は、Windows 2000 Service Pack 2 (SP2) で修正済みです。

詳細

この脆弱性と修正プログラムの詳細については、次の Microsoft Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms00-084.mspx
http://www.microsoft.com/japan/technet/security/bulletin/fq00-084.mspx
2000 年 2 月 20 日、Microsoft および CERT/CC (Computer Emergency Response Coordination Center) は、すべての Web サーバー製品に対して影響を及ぼす可能性がある、新たに確認されたセキュリティ上の脆弱性に関する情報を公開しました。この脆弱性は、クロスサイト スクリプティング (CSS) として知られ、Web アプリケーションが、動的な Web ページで入力を使用する前に、正しく入力を検証しない場合に影響を与えます。悪意のある Web サイト運営者が、ユーザーを誘い込むことができ、かつ、第 3 者の Web サイトが CSS に対して脆弱であることを確認した場合、この脆弱性を利用して、第 3 者の Web サイトに作成された Web ページにスクリプトを "挿入" し、ユーザーに配布します。この結果、第 3 者のサイトの信頼を使って、悪意のあるユーザーのスクリプトがユーザーのコンピュータ上で実行することが可能になります。

この脆弱性の影響を受けるのは、Web サーバー上で実行され、ユーザーの入力を "まったくチェックせずに" 受け付け、その入力を使って Web ページを作成するソフトウェアです。Microsoft は、Windows 2000 インデックス サービス内に、この脆弱性の影響を受けるコンポーネントが存在することを確認しており、この問題に関するセキュリティ情報と修正プログラムをリリースしています。

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 278499 (最終更新日 2003-04-10) を基に作成したものです。

プロパティ

文書番号: 278499 - 最終更新日: 2014年2月24日 - リビジョン: 3.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
キーワード:?
kbnosurvey kbarchive kbhotfixserver kbfix kbsecbulletin kbsecurity kbsecvulnerability kbenv kbprb kbtool KB278499
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com