[MS08-037] DNS の脆弱性により、なりすましが行われる

文書翻訳 文書翻訳
文書番号: 953230 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

マイクロソフトはセキュリティ情報 MS08-037 を公開しました。このセキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。他の地域については、各地域の支社にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/common/international.aspx?rdpath=4
北米のお客様は、次のマイクロソフト Web サイトから、無条件の無償電子メール サポートまたは無条件の個人チャット サポートもご利用ください。
https://support.microsoft.com/oas/default.aspx?&prid=7552&st=1&wfxredirect=1&sd=gn
企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。

このセキュリティ更新プログラムの既知の問題

Windows Server 2003 の ICMPv6 パケットに関する問題

このセキュリティ更新プログラムのインストール後、Windows Server 2003 は、ICMPv6 パケットの icmp6_hdr 構造の icmp6_cksum フィールドの値を設定しません。この問題を解決するには、修正プログラム 974927 をインストールします。 修正プログラム 974927 の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
974927 セキュリティ更新プログラム 953230 (MS08-037) のインストール後、Windows Server 2003 は、ICMPv6 パケットの icmp6_hdr 構造の icmp6_cksum フィールドの値を設定しません。

リソースの消費量の問題

Windows DNS サーバー システムでは、セキュリティ情報 MS08-037 に記載されている更新プログラムがインストールされているシステムで、メモリ使用量およびファイル ハンドルのリソース消費量の増加が確認されることがあります。この動作は仕様で、Windows ベース サーバーでこのセキュリティ上の脆弱性を解決するために実装された SocketPool ランダム化機能が原因です。DNS サーバーのセキュリティ更新プログラムの実装では、一連のポートを予約します。送信 DNS クエリごとに、1 つのポートがランダムに選択されます。Windows ベースのクライアントよりも非常に大量のクエリを処理および発行する DNS サーバーのパフォーマンス上の問題に対処するために、このような設計上の決定が行われました。DNS サーバーにより予約されるポートのセットは「ソケット プール」と呼ばれています。

Windows ベースのサーバーのソケット プールの既定サイズは 2,500 ソケットです。このサイズを構成するには、レジストリで以下のサブキーの SocketPoolSize レジストリ エントリを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize

この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
956188 DNS サーバー サービスのセキュリティ更新プログラム 953230 (MS08-037) をインストールした後、UDP に依存するネットワーク サービスで問題が発生する

関連情報については、次のマイクロソフト Web サイトを参照してください。
http://blogs.technet.com/sseshad/archive/2008/12/03/windows-dns-and-the-kaminsky-bug.aspx

ポートの競合と接続の問題

このセキュリティ更新プログラムをインストールしてコンピューターを再起動すると、UDP (ユーザー データグラム プロトコル) に依存するネットワーク サービスで問題が発生することがあります。このセキュリティ更新プログラムをインストールした後で、Windows 2000、Windows Server 2003、または Windows Server 2008 を実行しているコンピューターで、UDP ポートに依存するサービスが開始しないことがあります。この問題は、セキュリティ更新プログラム 953230 のインストール後に、このサービスが DNS サービスに割り当てられている場合に発生します。

この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
956188 DNS サーバー サービスのセキュリティ更新プログラム 953230 (MS08-037) をインストールした後、UDP に依存するネットワーク サービスで問題が発生する
977512 Windows Server 2008 R2 または Windows Server 2008 を実行しているサーバー上の Windows 展開サービスのポート範囲のすべてのポートにバインドする DNS サーバー サービス

SBS ベースのシステムでのサービスに関する問題点

このセキュリティ更新プログラムをインストールした後で、Microsoft Windows Small Business Server 2003 (Windows SBS) を実行しているコンピューターを再起動すると、ネットワーク関連の問題が多数発生することがあります。

この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
956189 DNS サーバー セキュリティ更新プログラム 953230 (MS08-037) をインストールした後に Windows SBS が動作しているコンピューターで一部のサービスが正常に起動または動作しないことがある

周辺ファイアウォール デバイスと NAT の問題

Microsoft Windows ベースのコンピューターにこのセキュリティ更新プログラムをインストールした後で、ファイアウォール経由でコンピューターから送信された DNS クエリでランダムな送信元ポートが使用されなくなることがあります。

この問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
956190 セキュリティ更新プログラム 953230 (MS08-037) のインストール後、ファイアウォールを経由して送信される DNS クエリにランダム ソース ポートは使用されない

ZoneAlarm に関する問題

ZoneAlarm を実行している Windows XP ベース、Windows 2000 ベース、または Windows Server 2003 ベースのコンピューターにこのセキュリティ更新プログラムをインストールした後で、インターネットに接続できなくなることがあります。

: この問題は、Windows Vista ベースのコンピューターでは発生しません。

この問題は、次の表に記載されているバージョンの ZoneAlarm を実行すると発生する可能性があります。
元に戻す全体を表示する
Applicationバージョン番号の範囲
Zone Alarm Internet Security Suite6.5.645.000?7.0.482.000
Zone Alarm Pro6.5.645.000?7.0.482.000
Zone Alarm Anti Virus6.5.645.000?7.0.482.000
Zone Alarm Anti-Spyware6.5.645.000?7.0.482.000
Zone Alarm Basic Firewall6.5.645.000?7.0.482.000
EndPoint Security6.5.645.000?7.0.865.000 (excluding 7.0.843.0007 and 7.0.866.000)
この問題を解決するには、更新プログラム 958752 をインストールします。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
958752 セキュリティ更新プログラム 953230 (MS08-037) およびセキュリティ更新プログラム 956803 (MS08-066) と同時にリリースされた AFD.SYS のバージョンには、アプリケーションの互換性の問題がある

この問題を解決する方法の詳細については、次の ZoneAlarm の Web サイトを参照してください。
http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.html
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

アンインストールに関する問題

サポートされているエディションの Windows 2000 Server および Windows Server 2003 を実行しているシステムは、DNS クライアントの更新プログラムに加えて DNS サーバーの更新プログラムも受け取ります。DNS サーバーの更新プログラムと DNS クライアントの更新プログラムはバイナリを共有します。このため、共有バイナリが以前のバージョンに戻ってしまうのを避けるために、これらのセキュリティ更新プログラムはインストールした際の順序と逆の順序でアンインストールする必要があります。

次のような状況で問題が発生します。
  • セキュリティ情報 MS08-037 に記載されている DNS クライアント セキュリティ更新プログラム (951748) をインストールする
  • セキュリティ情報 MS08-037 に記載されている DNS サーバー セキュリティ更新プログラム (951746) をインストールする
  • セキュリティ情報 MS08-037 に記載されている DNS クライアント セキュリティ更新プログラム (951748) をアンインストールする
この状況では、セキュリティ情報 MS08-037 に記載されている DNS サーバー セキュリティ更新プログラム (951746) が脆弱なバージョンに戻ってしまう可能性があります。この動作が発生すると、脆弱なシステムに、セキュリティ情報 MS08-037 に記載されている DNS サーバー セキュリティ更新プログラム (951746) が再提示されます。このため、セキュリティ情報 MS08-037 に記載されている DNS サーバー セキュリティ更新プログラム (951746) を再インストールする必要があります。

このセキュリティ更新プログラム、およびこのソフトウェアの特定のリリースで発生する既知の問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
823836 Windows のソフトウェア更新プログラムを誤った順序で削除すると、オペレーティング システムが機能しなくなることがある

ソケット接続に関する問題

セキュリティ情報 MS08-037 で提供されている更新プログラムにより、他のサービスがリッスンしている可能性がある予約済みポートと DNS サービスが競合しなくなります。
DNS 送信元ポートのランダム化
DNS 送信元ポートのランダム化の一部として、送信元ポートのランダム化のリスクを低減するためにマイクロソフトによって予約されているポートがあります。Windows Server 2003 およびダウンレベル プラットフォームでのソケット プールの既定のサイズは 2500 です。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\SocketPoolSize
レジストリ サブキーを変更することにより、このサイズは変更可能です。

SocketPoolSize レジストリ エントリの値を変更した場合、変更を有効にするには DNS サービスを再開する必要があります。他のサービスが UDP ポートをリッスンしている DNS サーバーでは、DNS サービスが他のサービスの予約済みポートと競合しないようにすると役に立ちます。

ReservedPorts キーの詳細情報を参照するには、次のサポート技術情報番号をクリックしてください。
812873 Windows Server 2003 または Windows 2000 Server を実行しているコンピューターで ephemeral ポート範囲を予約する方法。
MaxUserPort
Windows Server 2003 および Windows 2000 Server では、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort
レジストリ サブキーは、ワイルドカード バインドに割り当てられる可能性がある最大ポートとして定義されます。MaxUserPort レジストリ エントリの値は、動的なポート範囲を定義します。

MaxUserPort レジストリ エントリの詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/library/cc938196.aspx
MaxUserPort レジストリ エントリの値が明示的に設定されている場合の有効なポート範囲について

Windows Server 2003 または Windows 2000 Server では、MaxUserPort レジストリ エントリの値は動的なポート範囲を定義します。範囲は、1024 から MaxUserPort までです。

Windows Server 2008 以降で一時的なポートを修正する

Windows Server 2008 以降で一時的なポートを修正するには、次のコマンドを実行します。
netsh int <ipv4|ipv6> set dynamic <tcp|udp> start=number num=range
現在の一時的なポート範囲を表示するには、次のコマンドを実行します。
netsh int <ipv4|ipv6> show dynamicport <tcp|udp>
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
929851 動的な TCP/IP の既定のポート範囲が Windows Vista と Windows Server 2008 に変更しました。
以下は、MS08-037 の DNS 更新プログラムをインストールした後の Windows 2003 およびダウンレベル プラットフォームでの修正動作です。
  • MaxUserPort レジストリ エントリの値が設定されている場合、ポートは 1024 〜 MaxUserPort の範囲からランダムに割り当てられます。
  • MaxUserPort レジストリ エントリの値が設定されていない場合、ポートは 49152 〜 65535 の範囲からランダムに割り当てられます。

このセキュリティ更新プログラムの関連情報

このセキュリティ更新プログラム、およびこのソフトウェアの特定のリリースで発生する既知の問題の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
951748 MS08-037:Windows Server 2003、Windows XP、および Windows 2000 Server (クライアント サイド) 用 DNS のセキュリティ更新プログラムについて: 2008 年 7 月 8 日
951746 [MS08-037] Windows Server 2008、Windows Server 2003、および Windows 2000 Server (サーバーサイド) 用 DNS のセキュリティ更新プログラムについて: 2008 年 7 月 8 日

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS08-037 の「ファイル情報」セクションをご覧ください。

プロパティ

文書番号: 953230 - 最終更新日: 2011年10月4日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
キーワード:?
atdownload kbexpertiseinter kbfix kbbug kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbexpertisebeginner KB953230
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com