[IIS] Hit-Highlighting 引数の形式不良の脆弱性の新種への対策

この記事は、以前は次の ID で公開されていました: JP296185
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
Index Server 2.0 および Microsoft Windows 2000 のインデックス サービスに影響を及ぼす、「Hit-Highlighting 引数の形式不良」の脆弱性の新種が発見されました。この新種は、既知の脆弱性とまったく同じ影響を与えます。攻撃者が無効な検索リクエストを入力した場合、Web サーバー上にあるファイルを読み取ることが可能となります。新しい修正プログラムを適用することで、この脆弱性の既知の変種による問題をすべて解決できます。

問題を緩和する要素
  • この脆弱性を使用して実行可能となるのは、ファイルの読み取りのみです。この脆弱性により、ファイルの追加、変更、および削除はできません。
  • サーバー側のファイルには、重要なデータを含めないようにします。このようにすることで、この脆弱性によって重要なデータが損傷を受けることがなくなります。
  • この脆弱性により可能となるのは、Web サーバー (およびサーバーのルート ディレクトリと同じ論理ドライブ) にあるファイルの読み取りに限られます。サーバーのその他の場所にあるファイル、またはリモート サーバー上にあるファイルを読み取ることはできません。
解決方法

インデックス サービス

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、この修正プログラムは攻撃される恐れがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、マイクロソフト セキュリティ情報が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

:Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ファイルのダウンロード方法の詳細については、下記「Microsoft ダウンロードセンター」の Web サイト、で、「Microsoft ダウンロード センターの使い方」をクリックしてください。修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付      時刻    バージョン    サイズ    ファイル名    プラットフォーム   ------------------------------------------------------   04/16/2001  01:43p  5.0.2195.3498  42,768  Webhits.dll    x86   04/16/2001  01:45p  5.0.2195.3498  42,768  Webhits.dll    NEC

Index Server 2.0

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、この修正プログラムは攻撃される恐れがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、マイクロソフト セキュリティ情報が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

:Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
PC/AT 互換機用 :NEC PC98 用 :
ファイルのダウンロード方法の詳細については、下記「Microsoft ダウンロードセンター」の Web サイト、で、「Microsoft ダウンロード センターの使い方」をクリックしてください。修正プログラム (日本語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
File Name     Size     Date               Version    Platform-------------------------------------------------------------------webhits.dll   44,752   2001/05/08 18:07   5.0.1781.3 PC/AT 互換機用webhits.dll   44,752   2001/05/10 13:46   5.0.1781.3 NEC PC98 用
: ファイルの依存関係のため、この修正プログラムには、Microsoft Windows NT 4.0 Service Pack 4 またはそれ以降が必要です。


状況
マイクロソフトでは、この問題により、Windows 2000 のインデックス サービスおよび Index Server 2.0 において、ある程度のセキュリティの脆弱性が生じる可能性があることを確認しています。

この問題を解決するためのモジュールは、Windows 2000 日本語版サービスパック 3 以降に含まれております。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
詳細
この脆弱性の詳細については、下記のマイクロソフト Web サイトを参照してください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 296185 (最終更新日 2001-06-20) を基に作成したものです。

security_patch
プロパティ

文書番号:296185 - 最終更新日: 02/12/2014 14:11:43 - リビジョン: 2.3

Microsoft Index Server 2.0, Microsoft Windows Indexing Service 2.0

  • kbnosurvey kbarchive kbhotfixserver kbbug kbfix kbsecurity kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB296185
フィードバック