[MS09-042] Telnet の脆弱性により、リモートでコードが実行される

文書翻訳 文書翻訳
文書番号: 960859 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

マイクロソフトはセキュリティ情報 MS09-042 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/common/international.aspx?rdpath=4
北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。
http://support.microsoft.com/oas/default.aspx?&prid=7552
企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。

詳細

このセキュリティ更新プログラムの関連情報

  • このセキュリティ情報で解決される内容
    このセキュリティ更新プログラムは、Telnet プロトコルのリフレクション保護の問題が解決します。リフレクション保護の詳細については、次のセキュリティ情報を参照してください。
    http://www.microsoft.com/japan/technet/security/bulletin/MS09-042.mspx
  • 拡張保護について
    このセキュリティ更新プログラムには、多重防御の修正が含まれており、Telnet クライアントおよびサーバーでは拡張保護を必要に応じて選択できます。既定では、この機能は無効になっています。このセキュリティ更新プログラムと、拡張保護の詳細を説明している以下のセキュリティ アドバイザリを十分に検討し、これらの変更の影響を理解してください。
    973811 マイクロソフト セキュリティ アドバイザリ: 認証の拡張保護
  • コンピューターで拡張保護を有効にする方法
    拡張保護を有効にする前に、クライアント コンピューターとサーバー コンピューターの両方に以下の更新プログラムがインストールされていることを確認します。
    968389 認証の拡張保護
    Telnet の拡張保護を有効にするには、セキュリティ アドバイザリ 968389 およびこの資料で説明している更新プログラムを、クライアント コンピューターとサーバー コンピューターの両方にインストールしてください。

    注: 拡張保護を有効にするクライアント側の設定は、システム全体の設定です。この設定を有効にすると、クライアント コンピューター上のすべてのコンポーネントについて拡張保護が有効になります。

    サーバーでは、各コンポーネントについて個別に拡張保護を有効にする必要があります。サーバーで拡張保護を有効にする前に、特定のサーバーのクライアント コンポーネントがすべて拡張保護用に更新されていることを確認してください。更新されていない場合、認証エラーが発生する可能性があります。両方のセキュリティ更新プログラムをインストールした後、クライアント コンピューターとサーバー コンピューターの両方で拡張保護を有効にする必要があります。

    コンピューターで拡張保護を有効にするには、以下の変更を行う必要があります。

    重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
    322756 Windows でレジストリをバックアップおよび復元する方法
    • コンピューターが Telnet クライアントである場合:
      1. レジストリ値 SuppressExtendedProtection および LmCompatibilityLevel が、以下のレジストリ サブキーに存在していることを確認します。
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
      2. このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
        2. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        3. SuppressExtendedProtection」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. 0」と入力し、[OK] をクリックします。
        6. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        7. LmCompatibilityLevel」と入力し、Enter キーを押します。
        8. [編集] メニューの [修正] または [変更] をクリックします。

          注: この手順では、NTLM 認証の要件が変更されます。この動作について理解するには、サポート技術情報の以下の資料を参照してください。
          239869 NTLM 2 認証を有効にする方法
        9. 3」と入力し、[OK] をクリックします。
        10. レジストリ エディターを終了します。
    • Telnet サーバーの場合:
      以下の変更を行う前に、次の MSDN の記事で強化モードの設定について参照してください。
      http://msdn.microsoft.com/ja-jp/library/dd767318.aspx
      1. レジストリ値 ExtendedProtection が、以下のレジストリ サブキーに存在していることを確認します。
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
      2. このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
        2. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        3. Type」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. 使用する Telnet の要件に基づいて、以下のいずれかの値を使用してレジストリ値を設定し、[OK] をクリックします。
          • Legacy: すべての種類のクライアントを許可します。[ExtendedProtection] を 0 に設定します。
          • Partial: (Legacy + EP) サービス プリンシパル名 (SPN) を送信しないクライアントを許可します。また、正しい SPN を送信するクライアントを許可します。[ExtendedProtection] を 1 に設定します。
          • Fully Hardened: (EP のみ) 正しい SPN のみを送信するクライアントを許可します。[ExtendedProtection] を 2 に設定します。
        6. レジストリ エディターを終了します。
  • このパッケージをインストールする場合
    以下のレジストリ キーおよび値は、Windows XP を実行しているコンピューターおよび Windows Server 2003 を実行しているサーバーでのみ作成されます。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
    [ExtendedProtection] の既定値は 0 に設定されます。Windows Vista では、手動でこのキーを作成し、選択した強化モードに基づいて、適切な値を設定する必要があります。レジストリ値を追加するには、この資料の「コンピューターで拡張保護を有効にする方法」で説明した手順に従ってください。
  • Telnet サーバー上で既定で許可される SPN:
    • 既定では、Telnet サーバーは以下の一覧に示す名前および IP を許可します。
      • "localhost" という英語の文字列
      • 使用しているサーバーまたはコンピューターのすべての種類の IP (IPv4 & IPv6)
      • 127.0.0.1 & ::1
      • NetBIOS 形式のホスト名
      • FQDN 形式のホスト名
    • 管理者が他の SPN も許可することを決定した場合は、次のように名前を追加できます。名前は、NetBIOS から FQDN へ、または FQDN から NetBIOS へは変換されません。
      • レジストリ値 AllowedSPN が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
        2. [編集] メニューの [新規] をポイントし、[複数行文字列値] をクリックします。
        3. AllowedSPN」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. SPN として許可するエイリアスを追加します。以下のエントリは、Telnet で有効な SPN です。
          telnet/machineName
        6. [OK] をクリックし、レジストリ エディターを終了します。

このセキュリティ更新プログラムに関する既知の問題

  • Windows XP を実行しているコンピューター、または Windows Server 2003 を実行しているサーバーでは、IPv6 アドレスおよびコンピューターのエイリアスについて以下の localhost のエラーが発生する可能性があります。

    Microsoft Telnet クライアントが、ローカルの IPv6 アドレス、および "localhost" や "hostname" 以外のすべての localhost エイリアスに接続できません。

    この問題を解決するには、以下のうち該当する手順を実行します。
    • IPv6 アドレスのエラーの場合は、以下のサポート技術情報の「このセキュリティ更新プログラムに関する既知の問題」に示されている手順を実行します。
      960803 [MS09-013] Windows HTTP サービスの脆弱性により、リモートでコードが実行される
    • localhost エイリアスのエラーの場合は、以下のサポート技術情報の「回避策」に示されている方法 1 の手順を実行します。
      896861 IIS 5.1 または IIS 6 でホストされ、統合認証を使用する Web サイトを参照するとエラー 401.1 が表示される
  • アドレス範囲が 127.*.*.* の任意の IP アドレスに対して Telnet セッションを作成しようとすると、IP アドレスが 127.0.0.1 の場合を除いて、Telnet セッションはエラーになります。

    この問題は、Windows 2000、Windows XP、および Windows Server 2003 で発生します。
  • 既定では、Windows 2000 ではリフレクション保護を使用できません。
  • リレー (拡張) 保護は、以下のオペレーティング システムでのみ使用できます。
    • Windows Vista のすべてのバージョン
    • Windows Server 2003 Service Pack 2 QFE および Windows Server 2003 Service Pack 2 GDR
    • Windows XP Service Pack 2 QFE、Windows XP Service Pack 2 GDR、Windows XP Service Pack 3 QFE、および Windows XP Service Pack 3 GDR
  • クラスター名および FQDN に対しては Telnet を実行できません。クラスター名および FQDN を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
  • エイリアス名を使用してサーバーに Telnet を実行できません。エイリアス名を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
  • この更新プログラムは、システムに Services for Unix をインストールしている Windows 2000 ユーザーには提供されません。

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は、 セキュリティ情報 MS09-042 の「ファイル情報」セクションをご覧ください。

プロパティ

文書番号: 960859 - 最終更新日: 2009年8月18日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4?を以下の環境でお使いの場合
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional
    • Microsoft Windows 2000 Server
キーワード:?
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB960859
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com