現在オフラインです。再接続するためにインターネットの接続を待っています

[MS09-042] Telnet の脆弱性により、リモートでコードが実行される

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
マイクロソフトはセキュリティ情報 MS09-042 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。 北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。 企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。
詳細

このセキュリティ更新プログラムの関連情報

  • このセキュリティ情報で解決される内容
    このセキュリティ更新プログラムは、Telnet プロトコルのリフレクション保護の問題が解決します。リフレクション保護の詳細については、次のセキュリティ情報を参照してください。
  • 拡張保護について
    このセキュリティ更新プログラムには、多重防御の修正が含まれており、Telnet クライアントおよびサーバーでは拡張保護を必要に応じて選択できます。既定では、この機能は無効になっています。このセキュリティ更新プログラムと、拡張保護の詳細を説明している以下のセキュリティ アドバイザリを十分に検討し、これらの変更の影響を理解してください。
    973811 マイクロソフト セキュリティ アドバイザリ: 認証の拡張保護
  • コンピューターで拡張保護を有効にする方法
    拡張保護を有効にする前に、クライアント コンピューターとサーバー コンピューターの両方に以下の更新プログラムがインストールされていることを確認します。
    968389 認証の拡張保護
    Telnet の拡張保護を有効にするには、セキュリティ アドバイザリ 968389 およびこの資料で説明している更新プログラムを、クライアント コンピューターとサーバー コンピューターの両方にインストールしてください。

    注: 拡張保護を有効にするクライアント側の設定は、システム全体の設定です。この設定を有効にすると、クライアント コンピューター上のすべてのコンポーネントについて拡張保護が有効になります。

    サーバーでは、各コンポーネントについて個別に拡張保護を有効にする必要があります。サーバーで拡張保護を有効にする前に、特定のサーバーのクライアント コンポーネントがすべて拡張保護用に更新されていることを確認してください。更新されていない場合、認証エラーが発生する可能性があります。両方のセキュリティ更新プログラムをインストールした後、クライアント コンピューターとサーバー コンピューターの両方で拡張保護を有効にする必要があります。

    コンピューターで拡張保護を有効にするには、以下の変更を行う必要があります。

    重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
    322756 Windows でレジストリをバックアップおよび復元する方法
    • コンピューターが Telnet クライアントである場合:
      1. レジストリ値 SuppressExtendedProtection および LmCompatibilityLevel が、以下のレジストリ サブキーに存在していることを確認します。
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
      2. このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
        2. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        3. SuppressExtendedProtection」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. 0」と入力し、[OK] をクリックします。
        6. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        7. LmCompatibilityLevel」と入力し、Enter キーを押します。
        8. [編集] メニューの [修正] または [変更] をクリックします。

          注: この手順では、NTLM 認証の要件が変更されます。この動作について理解するには、サポート技術情報の以下の資料を参照してください。
          239869 NTLM 2 認証を有効にする方法
        9. 3」と入力し、[OK] をクリックします。
        10. レジストリ エディターを終了します。
    • Telnet サーバーの場合:
      以下の変更を行う前に、次の MSDN の記事で強化モードの設定について参照してください。
      1. レジストリ値 ExtendedProtection が、以下のレジストリ サブキーに存在していることを確認します。
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
      2. このレジストリ値が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
        2. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
        3. Type」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. 使用する Telnet の要件に基づいて、以下のいずれかの値を使用してレジストリ値を設定し、[OK] をクリックします。
          • Legacy: すべての種類のクライアントを許可します。[ExtendedProtection] を 0 に設定します。
          • Partial: (Legacy + EP) サービス プリンシパル名 (SPN) を送信しないクライアントを許可します。また、正しい SPN を送信するクライアントを許可します。[ExtendedProtection] を 1 に設定します。
          • Fully Hardened: (EP のみ) 正しい SPN のみを送信するクライアントを許可します。[ExtendedProtection] を 2 に設定します。
        6. レジストリ エディターを終了します。
  • このパッケージをインストールする場合
    以下のレジストリ キーおよび値は、Windows XP を実行しているコンピューターおよび Windows Server 2003 を実行しているサーバーでのみ作成されます。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
    [ExtendedProtection] の既定値は 0 に設定されます。Windows Vista では、手動でこのキーを作成し、選択した強化モードに基づいて、適切な値を設定する必要があります。レジストリ値を追加するには、この資料の「コンピューターで拡張保護を有効にする方法」で説明した手順に従ってください。
  • Telnet サーバー上で既定で許可される SPN:
    • 既定では、Telnet サーバーは以下の一覧に示す名前および IP を許可します。
      • "localhost" という英語の文字列
      • 使用しているサーバーまたはコンピューターのすべての種類の IP (IPv4 & IPv6)
      • 127.0.0.1 & ::1
      • NetBIOS 形式のホスト名
      • FQDN 形式のホスト名
    • 管理者が他の SPN も許可することを決定した場合は、次のように名前を追加できます。名前は、NetBIOS から FQDN へ、または FQDN から NetBIOS へは変換されません。
      • レジストリ値 AllowedSPN が存在しない場合は、レジストリ エディターを起動し、以下の手順を実行します。
        1. 次のレジストリ キーを見つけてクリックします。
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
        2. [編集] メニューの [新規] をポイントし、[複数行文字列値] をクリックします。
        3. AllowedSPN」と入力し、Enter キーを押します。
        4. [編集] メニューの [修正] または [変更] をクリックします。
        5. SPN として許可するエイリアスを追加します。以下のエントリは、Telnet で有効な SPN です。
          telnet/machineName
        6. [OK] をクリックし、レジストリ エディターを終了します。

このセキュリティ更新プログラムに関する既知の問題

  • Windows XP を実行しているコンピューター、または Windows Server 2003 を実行しているサーバーでは、IPv6 アドレスおよびコンピューターのエイリアスについて以下の localhost のエラーが発生する可能性があります。

    Microsoft Telnet クライアントが、ローカルの IPv6 アドレス、および "localhost" や "hostname" 以外のすべての localhost エイリアスに接続できません。

    この問題を解決するには、以下のうち該当する手順を実行します。
    • IPv6 アドレスのエラーの場合は、以下のサポート技術情報の「このセキュリティ更新プログラムに関する既知の問題」に示されている手順を実行します。
      960803 [MS09-013] Windows HTTP サービスの脆弱性により、リモートでコードが実行される
    • localhost エイリアスのエラーの場合は、以下のサポート技術情報の「回避策」に示されている方法 1 の手順を実行します。
      896861 IIS 5.1 または IIS 6 でホストされ、統合認証を使用する Web サイトを参照するとエラー 401.1 が表示される
  • アドレス範囲が 127.*.*.* の任意の IP アドレスに対して Telnet セッションを作成しようとすると、IP アドレスが 127.0.0.1 の場合を除いて、Telnet セッションはエラーになります。

    この問題は、Windows 2000、Windows XP、および Windows Server 2003 で発生します。
  • 既定では、Windows 2000 ではリフレクション保護を使用できません。
  • リレー (拡張) 保護は、以下のオペレーティング システムでのみ使用できます。
    • Windows Vista のすべてのバージョン
    • Windows Server 2003 Service Pack 2 QFE および Windows Server 2003 Service Pack 2 GDR
    • Windows XP Service Pack 2 QFE、Windows XP Service Pack 2 GDR、Windows XP Service Pack 3 QFE、および Windows XP Service Pack 3 GDR
  • クラスター名および FQDN に対しては Telnet を実行できません。クラスター名および FQDN を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
  • エイリアス名を使用してサーバーに Telnet を実行できません。エイリアス名を AllowedSPN レジストリ値に追加する必要があります。これを行う方法については、「このパッケージをインストールする場合」を参照してください。
  • この更新プログラムは、システムに Services for Unix をインストールしている Windows 2000 ユーザーには提供されません。
ファイル情報
セキュリティ更新プログラム (日本語版) のファイル属性は、 セキュリティ情報 MS09-042 の「ファイル情報」セクションをご覧ください。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE winxp win2k3 win2k winvista win2k8
プロパティ

文書番号:960859 - 最終更新日: 08/18/2009 05:49:34 - リビジョン: 1.2

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 1, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3, Microsoft Windows 2000 Service Pack 4

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB960859
フィードバック
html>r="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">