[MS02-026] ASP.NET ワーカー プロセスに未チェックのバッファが含まれる (英語版)

文書翻訳 文書翻訳
文書番号: 322289 - 対象製品
この記事は、以前は次の ID で公開されていました: JP322289
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

現象

Microsoft ASP.NET にバッファ オーバーランの脆弱性があります。この脆弱性を悪用する攻撃が成功した場合、Web サーバーで実行中のアプリケーションが再起動される可能性があります。また、マイクロソフトでは確認していませんが、攻撃者がこの脆弱性を悪用して Web サーバー上でコードを実行する可能性があります。コードは ASP.NET ワーカー プロセス (Aspnet_wp.exe) のセキュリティ コンテキストで実行され、特権を持たないアカウントがデフォルトで使用されます。

この脆弱性が影響を与えるのは、StateServer モードを使用してセッション状態情報を管理する ASP.NET アプリケーションのみです。StateServer モードはデフォルトのモードではありません。この脆弱性が影響を与えるのは、StateServer モードを使用し、かつ Cookie を使用するアプリケーションのみです。アプリケーションで StateServer モードを使用していても、Cookie を使用しない場合は、この脆弱性の影響はありません。

原因

この脆弱性が発生するのは、ASPState サービスの Cookie データを処理する関数に渡された Cookie の長さが正しくチェックされないことが原因です。

解決方法

必要条件

この修正プログラムには、Microsoft .NET Framework Service Pack 1 が必要です。 .NET Framework の最新の Service Pack の入手方法に関する関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318836 [INFO] 最新の .NET Framework Service Pack の入手方法

ダウンロード情報

この問題を解決するには、Microsoft .NET Framework の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318836 [INFO] 最新の .NET Framework Service Pack の入手方法
必要に応じて、個別の修正プログラムをダウンロードすることもできます。この問題の個別の修正プログラムをダウンロードするには、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/netframework/downloads/updates/asphotfix.asp
リリース日 : 2002 年 6 月 6 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール オプション

修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
ndp10_qfem_q322289_en.exe /Q
警告 : 次の「インストールについて」を参照し、コンピュータを再起動するまで脆弱性が解決されないことに注意してください。

インストールについて

この修正プログラムのインストールに関する問題の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
324292 サイレントモードで MS02-026 の修正プログラムを適用した際の問題

ファイル情報

%WINDIR%\Microsoft.NET\Framework\v1.0.3705\ フォルダに以下のファイルがコピーされます。
   バージョン       ファイル名
   -------------------------------
   1.0.3705.272  Aspnet_isapi.dll
   1.0.3705.272  Aspnet_wp.exe
   1.0.3705.272  Aspnet_regiis.exe
   --            Aspnet_perf.ini
   --            Aspnet_perf2.ini
   1.0.3705.272  System.Web.dll
				
%WINDIR%\Microsoft.NET\Framework\v1.0.3705\ASP.NETClientFiles\ フォルダに以下のファイルがコピーされます。
   バージョン   ファイル名
   -----------------------
   --        SmartNavIE5.js
   --        SmartNav.js
				

状況

マイクロソフトでは、この問題により Microsoft ASP.NET のセキュリティにある程度の脆弱性が生じる可能性があることを認識しています。 この問題は、Microsoft .NET Framework Service Pack 2 (SP2) で修正済みです。

詳細

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS02-026.mspx
この脆弱性 (MS02-026) に対する修正プログラムのローカライズ版は、それぞれ「サポート技術情報」 (Microsoft Knowledge Base) の文書番号が異なります。次の表は、文書番号と、各言語版の修正プログラムの対応の一覧です。
元に戻す全体を表示する
文書番号言語
322294 フランス語
322295 イタリア語
322296 スペイン語
322298 日本語
322299 簡体字中国語
322300 繁体字中国語
322301 韓国語

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 322289 (最終更新日 2004-03-02) を基に作成したものです。

プロパティ

文書番号: 322289 - 最終更新日: 2014年2月27日 - リビジョン: 4.3
この資料は以下の製品について記述したものです。
  • Microsoft ASP.NET 1.0
  • Microsoft .NET Framework 1.0
キーワード:?
kbnosurvey kbarchive kbbug kbfix kbnetframe100presp2fix kbnetframe100sp2fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB322289
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com