[IIS] .HTR 経由のファイル フラグメントの読み取りの脆弱性の対策

文書翻訳 文書翻訳
文書番号: 285985 - 対象製品
この記事は、以前は次の ID で公開されていました: JP285985
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

現象

Microsoft は、Internet Information Server (IIS) 4.0 または Internet Information Services (IIS) 5.0 の脆弱性を排除する英語版修正プログラムをリリースしました。この脆弱性を利用すると、きわめて限られた状況下で、攻撃者が Web サーバー上のファイルのフラグメントを読み取ることができる場合があります。

この脆弱性には、".HTR 経由のファイル フラグメント読み取り" 脆弱性の新種が含まれています。この脆弱性については次のサイトで説明しています。 マイクロソフト セキュリティ情報 (MS01-044) ほかの新種と同様この新種により、攻撃者は、.htr ISAPI エクステンションによって処理される方法でファイルをリクエストすることができてしまいます。この結果、.asp ファイルなどのサーバー側ファイルのフラグメントが、攻撃者に送信されてしまう可能性があります。この脆弱性を利用して、サーバー上のファイルの追加、変更、削除を実行したり、権限のないファイルにアクセスしたりすることはできません。

この脆弱性には、次のような多数の重大な制約が存在します。

  • 通常の .HTR 処理中に、重要な情報を含む可能性の高いデータそのものは除去されます。
  • ファイル フラグメントが送信されるには、サーバーのメモリ ロケーションの特定の場所が偶発的に 0 になっている必要があります。
  • .asp ファイルやその他のサーバー側のファイルに重要な情報を格納しないようにする最善のセキュリティ対策を行っている場合、元々これらのファイルに重要な情報が格納されることはありません。
既に .htr 機能を無効に設定してある場合、この脆弱性による影響を受けることはありません。Microsoft では、ビジネス クリティカルな理由で .htr 機能を使用する必要がある場合以外は、.htr 機能を無効にすることを推奨します。.htr 機能を使用する必要がある場合は、この脆弱性を排除する修正プログラムを適用します。

解決方法

Internet Information Services 5.0

この問題については、修正ファイルを用意しています。ただし、完全な遡行テストを行ってはいませんので、この修正ファイルは攻撃される恐れのあると判断したシステムにのみ適用してください。システムの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してシステムの危険度を判断してください。 マイクロソフト セキュリティ情報 を参照すると、この判断に役立ちます。システムへの危険性が高い場合には、この修正ファイルを適用することをお勧めします。そうでない場合、この修正ファイルを含む次の Windows 2000 Service Pack のリリースを待つことをお勧めします。

この問題を解決するには、次の手順に従って修正ファイルをダウンロードするか、Microsoft Product Support Services にお問い合わせのうえ、修正ファイルを入手してください。Microsoft Product Support Services の電話番号リストおよびサポート料金については、次の Web ページにアクセスしてください。

http://www.microsoft.com/japan/support/supportnet/default.asp
下記のファイルは、Microsoft Download Center からダウンロードできます。次のファイル名をクリックして、ファイルをダウンロードしてください。
元に戻す画像を拡大する

ダウンロード
Download Q285985_W2K_SP3_x86_ja.exe now
Microsoft Download Center からファイルをダウンロードする方法の詳細については、下記のアドレスにアクセスし、
http://www.microsoft.com/downloads/Search.aspx
[How to use the Microsoft Download Center] をクリックしてください。 修正ファイル (日本語版) の属性は次のとおりです。ただし、これより新しい修正ファイルがリリースされている可能性もあります。
   日付         時刻         バージョン    サイズ    ファイル名
   ----------------------------------------------------
   01/19/2001  11:05a  5.0.2195.3160  46,352  Ism.dll

Internet Information Server 4.0

この問題については、修正ファイルを用意しています。ただし、完全な遡行テストを行ってはいませんので、この修正ファイルは攻撃される恐れのあると判断したシステムにのみ適用してください。システムの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してシステムの危険度を判断してください。 Microsoft のセキュリティ情報を参照すると、この判断に役立ちます。 システムの危険性がかなり高い場合は、この修正ファイルを適用することをお勧めします。そうでない場合は、この修正が反映される、次の Windows NT 4.0 のサービス パックを利用してください。

この問題を解決するには、次の手順に従って修正ファイルをダウンロードするか、Microsoft Product Support Services にお問い合わせのうえ、修正ファイルを入手してください。Microsoft Product Support Services の電話番号リストおよびサポート料金については、次の Web ページにアクセスしてください。

http://www.microsoft.com/japan/support/supportnet/default.asp
下記のファイルは、Microsoft Download Center からダウンロードできます。次のファイル名をクリックして、ファイルをダウンロードしてください。
元に戻す画像を拡大する

ダウンロード
Frgvuli.exe
Microsoft Download Center からファイルをダウンロードする方法の詳細については、下記のアドレスにアクセスし、
http://www.microsoft.com/downloads/Search.aspx
[How to use the Microsoft Download Center] をクリックしてください。 修正ファイル (日本語版) の属性は次のとおりです。ただし、これより新しい修正ファイルがリリースされている可能性もあります。
   日付         時刻         バージョン    サイズ    ファイル名     プラットフォーム
   ----------------------------------------------------------
   01/23/2001  03:43p  4.2.756.1  54,560  Ism.dll    x86
: ファイルの依存関係のため、この修正プログラムを適用する前に、Microsoft Windows NT 4.0 Service Pack 5 または Service Pack 6a をインストールする必要があります。


状況

弊社では、この問題により、IIS 4.0 および 5.0 のセキュリティにある程度の脆弱性が生じる可能性があることを確認済みです。

この問題を解決するためのモジュールは、Windows 2000 日本語版サービスパック 3 以降に含まれております。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

詳細

この脆弱性に関する詳細については、次の Microsoft Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-004
Windows 2000 と Windows 2000 のホットフィックスを同時にインストールする方法の関連情報については、次の文書番号をクリックして Microsoft Knowledge Base を参照してください。
249149 Installing Microsoft Windows 2000 and Windows 2000 Hotfixes

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 285985 (最終更新日 2001-01-30) を基に作成したものです。

プロパティ

文書番号: 285985 - 最終更新日: 2014年2月7日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
キーワード:?
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbiiscom kbwin2000sp3fix kbwinnt400presp7fix kbhotfixserver KB285985
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com