[MS01-035] Visual Studio RAD (Remote Application Deployment) に潜在的にバッファ オーバーランの脆弱性がある

この記事は、以前は次の ID で公開されていました: JP300477
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Microsoft Internet Information Server 4.0 とインターネット インフォメーション サービス 5.0 (IIS) には、Web サイトと Web ベースのアプリケーションの開発を容易に行うため、FrontPage Server Extensions が含まれています。FrontPage Server Extensions には、Visual Studio RAD (Remote Application Deployment) と呼ばれる、開発用サーバー向けのサブコンポーネントが含まれています。Microsoft Windows 2000 のインストール中に、コンピュータにこのオプション コンポーネントをインストールする場合、次のメッセージが表示されます。
Visual InterDev RAD Remote Development Support をインストールするオプションが選択されています。これは開発用サーバーだけにインストールすることをお勧めします。その理由は、RAD が作成者のコンポーネントと COM+ の変更を登録させるため、サーバーの実行状態に影響を及ぼすからです。RAD Remote Deployment Support をインストールする場合、FrontPage Web の権限の設定を確認し、不要な作成者が Web サーバー上での作成する権限を持たないことを確認してください。
このサブコンポーネントにより、Visual InterDev のユーザーは、IIS サーバー上でプログラミング コンポーネントの登録と登録の解除を実行できます。このサブコンポーネントは、入力情報を処理する部分に、未チェックのバッファを含んでいます。

攻撃者がサーバー上の Web セッションに接続して特殊な無効パケットをシステムに渡すことにより、このサブコンポーネントがインストールされているサーバーに対して、この脆弱性を利用できる可能性があります。最新の Windows 2000 Service Pack の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法
詳細
この問題の詳細な説明および修正プログラムは、次のマイクロソフト セキュリティ情報 (MS01-035) から参照およびダウンロード可能です。この修正プログラムは、Windows 2000 セキュリティ ロールアップ パッケージ 1 (SRP1) に収録されています。また、以下のリンクを使用して個別に入手することもできます。SRP1 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
セキュリティに関するトピックの関連情報については、次の Microsoft TechNet セキュリティ センター Web サイトを参照してください。
front page FP FPSE security_patch kbWin2000srp1 KbSECVulnerability KbSECHack KbSECBulletin
プロパティ

文書番号:300477 - 最終更新日: 02/24/2014 15:34:08 - リビジョン: 4.4

  • Microsoft FrontPage 2000 Server Extensions
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbhotfixserver kbinfo kbsecurity kbwin2000presp3fix kbwin2000sp3fix KB300477
フィードバック