[sitemcis]ファイル ビューアの脆弱性に対する解決策

この記事は、以前は次の ID で公開されていました: JP231368
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
弊社では、Site Server および Internet Information Server に含まれている一部のファイル ビューアで発生する脆弱性を確認しました。

Web サイトの訪問者が各ファイルの名前を推測でき、Windows NT アクセス制御リスト (ACL) に基づいたファイル アクセス権を持っている場合、この脆弱性により、Web サイトの訪問者は、サーバー上のファイルを見ることができます。しかしながら、変更することはできません。
原因
ファイル ビューア ツールが、ユーザーが見ることのできるファイルを制限しないことが原因です。
解決方法
Site Server 3.0
~~~~~~~~~~~~~~~
この問題を解決するには、Site Server 3.0 の最新のサービスパックを適用してください。
最新のサービスパックは以下のサイトから入手可能です。

この問題は、Site Server 3.0 Service Pack 3 ではじめて修正されました。

IIS 4.0
~~~~~~~
この問題に対する修正モジュールを作成いたしました。このモジュールは以下サイトより入手可能です。

この修正モジュールに関する詳細につきましては、下記のサポート技術情報をご覧ください。
文書番号 : 232449
タイトル : [IIS]サンプルの ASP コードがサーバーファイルの表示に使用される
回避策
Web サーバー上で、これらのファイル ビューアが原因で発生する脆弱性を除去するには、次のような方法を用いてください。

- Web サイト上で特に必要でないかぎり、影響を受けるファイル ビューアを削除します。影響を受けるファイル ビューアは、ViewCode.asp、ShowCode.asp、CodeBrws.asp、Winmsdp.exe です。インストール状態によっては、サーバー上にこれらのファイルがすべて存在するとは限りません。ファイルによっては、複数のコピーが存在する場合もあるため、サーバーの完全な検索を行なって、すべてのコピーを探してください。
標準のセキュリティ ガイドラインに従って、ファイル アクセス権は、常に、Web 訪問者がアクセスする必要があるファイルだけになるように設定してください。Web 訪問者が必要とするファイルは、必要最低限のアクセス権を提供するべきです。たとえば、Web 訪問者が読み取りだけ必要で書き込みの必要がないファイルは、読み取り専用に設定するべきです。
- 一般的なルールとして、サンプル ファイルや仮想ルート (vroot) は常に、Web サーバーの運用を開始する前に Web サーバーから削除するべきです。サンプル ファイルや vroot が必要な場合は、ファイル アクセス権を使用して、それらに対するアクセスを適宜規制してください。
詳細
Site Server および IIS には、Web サイト訪問者がサーバー上の選択されたファイルを見ることを可能にするツールが含まれています。これらのツールは Site Server にはデフォルトでインストールされますが、IIS は明示的にインストールしなければなりません。これらのツールは、ユーザーがサンプル ファイルのソース コードを練習問題として見ることができるように提供されているものであり、実際に運用する Web サーバーに導入するためのものではありません。この脆弱性の根本にある問題は、Web サイト訪問者が見ることのできるファイルをツールが制限しないということです。

次の重要点に注意してください。

- これらのファイル ビューアは、IIS にはデフォルトではインストールされません。これらが IIS にインストールされるのは、サンプル Web ファイルをインストールするように選択をした場合のみです。

- この脆弱性により、Web サイト訪問者が可能になるのは、ファイルを見ることだけです。ファイルを変更したり、サーバーにファイルを追加したりする機能はありません。

- この脆弱性により、Windows NT ファイル アクセス権の ACL がバイパスされることはありません。Web サイト訪問者がこれらのツールを使用して見ることができるのは、ACL により読み取りアクセス権が許可されているファイルのみです。Web サーバーの管理者は、サーバー上の全ファイルに対して特定のアクセス権を設定してください。

- ビューアは、現在表示されている Web ページと同じパーティション上のファイルを見るためだけに使用できます。電子商取引 (コマース) サーバーが使用しているようなデータベースは、通常、別の物理的ドライブ上に格納されており、危険にさらされることはありません。

- Web サイト訪問者は、見たいファイルのそれぞれの名前を知っているか、または推測できる必要があります。
関連情報
- マイクロソフトセキュリティ情報 MS99-013 "Solution Available for File Viewers Vulnerability" (英語情報)



関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 231368 (最終更新日 2001-07-17) をもとに作成したものです。

patch hotfix hot fix default setup set up viewcode utility hacker breach read see source cpa akz
プロパティ

文書番号:231368 - 最終更新日: 02/23/2014 11:13:00 - リビジョン: 3.1

  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
  • kbnosurvey kbarchive kbhotfixserver kbpending kbprb アタック セキュリティ ソース ビュー 攻撃 KB231368
フィードバック