[MS03-007] Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される

文書翻訳 文書翻訳
文書番号: 815021 - 対象製品
マイクロソフトでは、2003 年 3 月 18 日に初めてこの資料をリリースしました。その時点で、マイクロソフトでは、IIS 5.0 を実行している Windows 2000 Server を標的とした攻撃に利用される一般的な脆弱性が存在することを認識していました。このケースでは、この脆弱性はオペレーティング システムのコア コンポーネントである Ntdll.dll に存在しましたが、攻撃の対象は WebDAV でした。マイクロソフトでは、その後直ちに Windows 2000 ユーザーを保護するために更新プログラムを発行しましたが、この根本的な脆弱性の調査を引き続き行ってきました。Windows NT 4.0 にも Ntdll.dll の脆弱性が存在しますが、Windows NT 4.0 では WebDAV をサポートしていないため、この脆弱性に対する既知の攻撃手段は Windows NT 4.0 に対しては無効です。現在では、Windows NT 4.0 用の更新プログラムもリリースしています。また、最近、Windows XP にもこの脆弱性が存在することが確認されました。しかし、Windows NT 4.0 と同様に、Windows XP には、インターネット インフォメーション サービス (IIS) はデフォルトでインストールされません。マイクロソフトは、2003 年 5 月 28 日に、Windows XP および Windows XP Service Pack 1 用の更新プログラムをリリースしました。

警告 : Windows 2000 Service Pack 2 (SP2) を実行している場合、この更新プログラムをインストールする前に、コンピュータの Ntoskrnl.exe のバージョンを確認する必要があります。これを行うには、次の手順を実行します。
  1. %Windir%\System32 フォルダを開きます。
  2. Ntoskrnl.exe ファイルを右クリックし、[プロパティ] をクリックし、[バージョン情報] タブをクリックします。
5.0.2195.4797 から 5.0.2195.4928 までのバージョンの Ntoskrnl.exe は、この更新プログラムとの互換性がありません。これらのバージョンは、Microsoft Product Support Services の更新プログラムでのみ配布されています。この資料の更新プログラムを 5.0.2195.4797 から 5.0.2195.4928 までのバージョンの Ntoskrnl.exe が存在するコンピュータにインストールすると、コンピュータの再起動時に、"Stop 0x00000071" というメッセージが表示されてコンピュータが応答を停止します。この現象が発生した場合は、Windows 2000 回復コンソールと Winnt\$NTUninstallQ815021$ フォルダに格納されている Ntdll.dll ファイルのバックアップ コピーを使用して、Windows のインストールを回復する必要があります。

Microsoft Product Support Services から配布されたバージョンの Ntoskrnl.exe が存在するコンピュータを更新するには、この更新プログラムを適用する前に、まず Microsoft Product Support Services に問い合わせる必要があります。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/selectassist
または、この更新プログラムをインストールする前に、Windows 2000 Service Pack 3 (SP3) にアップグレードすることもできます。
すべて展開する | すべて折りたたむ

目次

現象

Windows 2000 では、WebDAV (World Wide Web Distributed Authoring and Versioning) プロトコルをサポートしています。RFC 2518 で定義されているように、WebDAV は、インターネット上でのコンピュータ間の編集とファイル管理の標準を提供しているハイパーテキスト転送プロトコル (HTTP) の拡張機能です。RFC 2518 については、次の RFC の Web サイトを参照してください。
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

セキュリティ上の脆弱性は、WebDAV が使用している Windows コンポーネントに存在します。この脆弱性は、コンポーネントに未チェックのバッファが含まれているために発生します。

攻撃者が、特殊な HTTP 要求を Microsoft インターネット インフォメーション サービス (IIS) を実行するコンピュータに送信することによって、この脆弱性を悪用する可能性があります。この要求により、サーバーが異常停止したり、攻撃者が指定したコードが実行されたりすることがあります。コードは、IIS サービスのセキュリティ コンテキストで実行されます (デフォルトでは、IIS サービスは LocalSystem のコンテキストで実行されます)。

マイクロソフトでは、この脆弱性に対する更新プログラムを配布しており、すぐにこの更新プログラムをインストールすることを推奨しますが、更新プログラムの影響と互換性の確認が完了するまでの間に利用可能な、この脆弱性の悪用をブロックできる追加ツールや予防策も用意されています。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
816930 [MS03-007] サポート技術情報 815021 に記載されている脆弱性を回避する方法

問題を緩和する要素

  • URLScan のデフォルトの構成を使用することにより、脆弱性の悪用を防止できます。URLScan は、IIS Lockdown ツールの一部です。URLScan の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/japan/technet/security/tools/urlscan.mspx
    IIS Lockdown ツールの詳細については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/japan/technet/security/tools/locktool.asp
  • この脆弱性は、攻撃者が影響を受けるサーバーとの間で Web セッションを確立できる場合に、リモートからのみ利用できます。

解決方法

Service Pack 情報

Windows XP

この問題を解決するには、Windows XP の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法

Windows 2000

この問題を解決するには、Microsoft Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

セキュリティ更新プログラムの情報

Windows XP

ダウンロード情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

Windows XP (すべての言語)
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
Windows XP 64-Bit Edition
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
リリース日 : 2003 年 5 月 28 日

マイクロソフトのサポート ファイルをダウンロードする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
必要条件

この更新プログラムをインストールするには、製品版の Windows XP または Windows XP Service Pack 1 (SP1) を実行している必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法
インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /n : アンインストールするためのファイルのバックアップを作成しません。
  • /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
  • /z : インストールの完了時に再起動しません。
  • /q : 非表示モードで実行します (ユーザー入力を必要としません)。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
たとえば、更新プログラムのインストール時にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンドを使用します。
q815021_wxp_sp2_x86_jpn /u /q /z
この更新プログラムがインストール済みであるかどうかを確認するには、以下のレジストリ キーが存在することを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
アンインストール情報

この更新プログラムをアンインストールするには、コントロール パネルの [プログラムの追加と削除] ツールを使用します。

システム管理者は、Spuninst.exe ユーティリティを使用してこの更新プログラムを削除できます。Spuninst.exe は %Windir%\$NTUninstallQ815021$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : 非表示モードで実行します (ユーザー入力を必要としません)。
再起動の必要性

Ntdll.dll は、システムの起動時に読み込まれる、コア システムのバイナリ ファイルであるため、この更新プログラムの適用後にコンピュータを再起動する必要があります。再起動するまで、コンピュータの脆弱性は解決されません。

ファイル情報

更新プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。

Windows XP
   日付         時刻     バージョン        サイズ      パスとファイル名
   ---------------------------------------------------------------------------------
   2003/05/02   11:04  5.1.2600.114   651,264  %Windir%\System32\Ntdll.dll  pre-SP1
   2003/05/01   16:56  5.1.2600.1217  654,336  %Windir%\System32\Ntdll.dll  with SP1

Windows XP 64-Bit Edition
   日付         時刻     バージョン        サイズ      パスとファイル名
   ------------------------------------------------------------------------------------
   2003/05/02   11:04  5.1.2600.114  1,498,112  %WinDir%\System32\Ntdll.dll  pre-SP1
   2003/05/02   11:04  5.1.2600.114    654,336  %WinDir%\System32\Wntdll.dll pre-SP1

   2003/05/01   16:57  5.1.2600.1217 1,508,864  %WinDir%\System32\Ntdll.dll  with SP1
   2003/05/01   16:57  5.1.2600.1217   657,408  %WinDir%\System32\Wntdll.dll with SP1}
この更新プログラムでインストールされるファイルは、次のレジストリ キーでも確認できます。
Windows XP にインストールした場合
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\Q815021\Filelist
Windows XP with Service Pack 1 (SP1) にインストールした場合
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

すべての言語 (NEC PC-9800 シリーズを除く)
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
NEC PC-9800 シリーズ
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
リリース日 : 2003 年 3 月 18 日

マイクロソフトのサポート ファイルをダウンロードする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。 必要条件

この更新プログラムをインストールするには、Windows 2000 Service Pack 2 (SP2) または Service Pack 3 (SP3) を実行している必要があります。 最新の Service Pack の入手方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
: Windows 2000 Service Pack 2 (SP2) を使用している場合、この更新プログラムを適用する前に、この資料の冒頭に記載されている警告を確認してください。

インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /n : アンインストールするためのファイルのバックアップを作成しません。
  • /o : 確認メッセージを表示せずに OEM ファイルを上書きします。
  • /z : インストールの完了時に再起動しません。
  • /q : 非表示モードで実行します (ユーザー入力を必要としません)。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
たとえば、次のコマンド ラインを使用すると、更新プログラムのインストール時にユーザー入力の必要がなく、コンピュータが強制的に再起動されることはありません。
q815021_w2k_sp4_x86_ja /u /q /z
この更新プログラムがインストール済みであることを確認するには、次のレジストリ キーが存在することを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
アンインストール情報

この更新プログラムは、コントロール パネルの [アプリケーションの追加と削除] ツールを使用して、[Windows 2000 Hotfix (SP4) Q815021] を削除することによってアンインストールできます。

システム管理者は、Spuninst.exe ユーティリティを使用してこの更新プログラムを削除することができます。Spuninst.exe は %Windir%\$NTUninstallQ815021$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : 非表示モードで実行します (ユーザー入力を必要としません)。
再起動の必要性

Ntdll.dll は、システムの起動時に読み込まれる、コア システムのバイナリであるため、この更新プログラムの適用後にコンピュータを再起動する必要があります。再起動するまで、コンピュータの脆弱性は解決されません。

ファイル情報

更新プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。

   日付         時刻     バージョン        サイズ    パスとファイル名
   -----------------------------------------------------------------------
   2003/3/14 20:27:36 5.0.2195.6685 476,944 %windir%\System32\Ntdll.dll X86 Unipro   
   2003/3/14 20:27:36 5.0.2195.6685 476,944 %windir%\system32\ntdll.dll X86
   2003/3/14 20:27:36 5.0.2195.6685 476,944 %windir%\system32\ntdll.dll NEC Unipro 
   2003/3/14 20:27:36 5.0.2195.6685 476,944 %windir%\system32\ntdll.dll NEC

この更新プログラムでインストールされるファイルは、次のレジストリ キーでも確認できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (すべてのバージョン)

Microsoft Internet Information Server (IIS) を Windows NT Server 4.0 Terminal Server Edition で使用することは想定されておらず、このような使用はサポートされていません。Windows NT Server 4.0 Terminal Server Edition で IIS 4.0 を実行しているユーザーは、システムを保護するために IIS 4.0 を削除することをお勧めします。

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

Windows NT 4.0

すべての言語 (NEC PC-9800 シリーズ、および中国語 (香港) を除く)
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
日本語 (NEC PC-9800 シリーズ)
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
中国語 (香港)
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
Windows NT Server 4.0 Terminal Server Edition

すべての言語
元に戻す画像を拡大する
ダウンロード
815021 パッケージ
リリース日 : 2003 年 4 月 23 日

マイクロソフトのサポート ファイルをダウンロードする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムをインストールするには Windows NT 4.0 Service Pack 6a (SP6a) または Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6) を実行している必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
152734 Windows NT 4.0 の最新の Service Pack を入手する方法
インストール情報

この更新プログラムでは、以下のセットアップ スイッチが使用できます。
  • /y : 削除を行います (/m または /q を使用するときのみ)。
  • /f : シャットダウン時にアプリケーションを終了します。
  • /n : アンインストール用のフォルダを作成しません。
  • /z : 更新の完了時に再起動しません。
  • /q : 非表示モード、つまりユーザー インターフェイスを表示しない無人モードで実行します (このスイッチは /m のスーパーセットです)。
  • /m : ユーザー インターフェイスを表示する無人モードで実行します。
  • /l : インストール済みの更新プログラムの一覧を表示します。
  • /x : セットアップを実行せずにファイルの展開のみを行います。
この更新プログラムがインストール済みであることを確認するには、次のレジストリ キーが存在することを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
たとえば、次のコマンド ラインを使用すると、更新プログラムのインストール時にユーザー入力の必要がなく、コンピュータが強制的に再起動されることはありません。
JPNq815021i /q /z
アンインストール情報

この更新プログラムを削除するには、コントロール パネルの [アプリケーションの追加と削除] を使用します。

システム管理者は、Spuninst.exe ユーティリティを使用してこの更新プログラムを削除することができます。Spuninst.exe は %Windir%\$NTUninstallQ815021$\Spuninst フォルダに格納されており、以下のセットアップ スイッチをサポートしています。
  • /? : インストール スイッチの一覧を表示します。
  • /u : 無人モードで実行します。
  • /f : コンピュータのシャットダウン時に他のプログラムを強制終了します。
  • /z : インストールの完了時に再起動しません。
  • /q : 非表示モードで実行します (ユーザー入力を必要としません)。
再起動の必要性

Ntdll.dll は、システムの起動時に読み込まれる、コア システムのバイナリであるため、この更新プログラムの適用後にコンピュータを再起動する必要があります。再起動するまで、コンピュータの脆弱性は解決されません。

ファイル情報

更新プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。

   日付          時刻     バージョン       サイズ     パスとファイル名                  OS
   ----------------------------------------------------------------------------------------
   2003/04/01  17:33  4.0.1381.7101  448,304  %WinDir%\System32\Ntdll.dll  NT 4.0 PC/AT 互換機
   2003/04/23  10:02  4.0.1381.7029  447,776  %WinDir%\System32\Ntdll.dll  NT 4.0 NEC PC-9800 シリーズ
   2003/04/01  17:56  4.0.1381.39770 450,512  %WinDir%\System32\Ntdll.dll  NT 4.0 TSE

状況

マイクロソフトでは、この問題によって、この資料の冒頭に記載したマイクロソフト製品に何らかのセキュリティの脆弱性が生じることを認識しています。

Windows XP

この問題は、 Windows XP Service Pack 2 で修正済みです。

Windows 2000

この問題は、Windows 2000 Service Pack 4 で修正済みです。

詳細

この脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.mspx

プロパティ

文書番号: 815021 - 最終更新日: 2007年12月1日 - リビジョン: 12.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
キーワード:?
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbenv kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com