Windows HotFix Briefings
(2005年4月29日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/04/29

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。

[不具合情報]
MS05-019(TCP/IPの脆弱性)の修正適用で複数の重大な障害が発生

情報の内容 不具合情報
情報ソース マイクロソフト
報告日
対象環境 Windows 2000/Windows XP/Windows Server 2003

 2005年4月度の月例修正として4月13日に公開されたMS05-019(TCP/IPの脆弱性により、リモートでコードが実行され、サービス拒否が起こる)の修正プログラムを適用すると、VPNなどのターミナル・サービスが利用不可になる、WAN経由のドメイン・コントローラのレプリケーションが失敗するなどの複数の重大な不具合が発生することがマイクロソフトから報告されている。MS05-019の脆弱性(CAN-2005-0048)については、すでに攻撃用の実証コードが公開されており、攻撃に悪用される危険は高まっている。しかし適用による不具合も多発していることから、適用にあたっては、広範な展開前の十分な検証と、バックアップなどシステムのロールバック準備などしっかり行ってから作業を開始した方がよいだろう。

■[不具合]Windows 2000に適用するとネットワークの処理速度が大幅に低下する
 このMS05-019については、4月19日付けのHotFix Briefings Alertにおいて紹介する際に、一部の不具合(Windows 2000への修正適用により、ネットワークの処理速度が大幅に低下する可能性)についてお知らせした。

 この問題はWindows 2000でのみ発生する不具合だった。しかし次から述べる2つの不具合については、Windows XPやWindows Server 2003にも影響が及ぶ。

■[不具合]Windows XP SP1に適用するとRAW IPソケットを使用するプログラムが機能しなくなる
 
Windows XP SP1でICF(Internet Connection Firewall)を無効化しているコンピュータにMS05-019の修正プログラムを適用すると、RAW IPソケットを使用してTCP/UDPパケットを送信するアプリケーションが正しく機能しなくなる場合がある。

 この不具合は、MS05-019の適用により、ICF無効時のRAW IPソケットの処理が変更されるために発生するとしている。上記サポート技術情報によれば、ICFを有効化することで問題を回避できる。

■[不具合]ターミナル・サーバや共有ファイルへのアクセスが不可になる

 Windows 2000/Windows XP/Windows Server 2003にMS05-019の修正プログラムを適用すると、次のような不具合が発生する場合がある。

  1. ターミナル・サーバや共有ファイルへのアクセスが不可になる。

  2. WANリンクを利用したドメイン・コントローラのレプリケーションに失敗する。

  3. Exchange Serverがドメイン・コントローラに接続できなくなる。

 なおこれらと同じ不具合は、MS05-019だけでなく、Windows Server 2003に対して先頃公開されたService Pack 1をインストールした場合にも発生する。MS05-019やWindows Server 2003 SP1の適用によって上記のような現象が発生した場合は、これらの影響による不具合を疑う必要がある。

 この問題を解決するパッチはマイクロソフトから提供されているが、テストが不十分だとして一般には公開されていない。入手にはマイクロソフトのサポート・サービスへの問い合わせが必要だ。

 MS05-019の修正適用に関する障害情報などは、以下のHotFix Report BBSの関連スレッドが詳しい。


[互換性情報]
Windows Server 2003 SP1提供開始。インストールで発生する不具合情報

情報の内容 最新Service Pack情報、不具合情報
情報ソース マイクロソフト、セキュリティ情報サイト
報告日 2005/04/19
対象環境 Windows 2000/Windows XP/Windows Server 2003

 2005年4月19日より、Windows Server 2003 Service Pack 1(以下SP1)の提供が開始された。Windows Server 2003 SP1の詳細については、関連記事を参照されたい。

 このWindows Server 2003 SP1について、インストールによって発生する不具合や互換性問題に関する情報が公開され始めた。マイクロソフトは、自社製品を始めとする各種アプリケーションとWindows Server 2003 SP1との互換性について、以下のページにまとめている。

Windows Server 2003 SP1の概要
リモート・アクセス検疫機能

 以下では、Windows Server 2003 SP1の適用前の準備用として、これまでに分かっている不具合情報、互換性情報についてまとめる。マイクロソフトのサポート技術情報を中心に紹介するが、情報によってはWindows Server 2003 SP1の開発途中版(ベータ版など)を対象にしているものもあり、最終版での影響が不明なものもある。これらについても、参考のため併せてご紹介する。情報を参照するときには、情報の対象バージョンに注意してほしい。また正式な日本語ページ(機械翻訳ではないページ)が公開されているものについてはそちらを掲載するが、そうでないページについては英語ページを掲載した。

 なおこれらWindows Server 2003 SP1のインストールに関する不具合情報は、以下のセキュリティ関連情報の掲示板(HotFix Report BBS)にまとまっており、順次最新情報が追加されているので定期的にチェックするとよいだろう。

■リモート・アクセス接続不可/共有ファイル使用不可/WANでのドメイン・コントローラのレプリケーションに失敗する
 MS05-019の修正適用による不具合情報として前述したとおり、Windows Server 2003にSP1を適用すると、ネットワークに重大な不具合が発生する場合がある。

■クラスタ構成のExchange 2003に適用するとOutlook Web Accessがエラーを発生する
 Windows Server 2003+Exchange Server 2003のシステムをクラスタ構成にしている場合、Windows Server 2003 SP1を適用すると、SP1で強化されたセキュリティ機能の影響によりOutlook Web Accessがエラー(500 - 内部サーバーエラー)を発生する。具体的には、SP1によってリモート・レジストリ・アクセスを実行するAPIのセキュリティ制限が変更され、ログオンが失敗する。詳細は次のサポート技術情報を参照のこと。すでに、この問題を解消するパッチが公開されており、以下のページからダウンロードできる。

■Exchange Server 2003でOutlookユーザーがアクセス不能になる
 Windows Server 2003ベースのExchange Server 2003システムにWindows Server 2003 SP1をインストールし、Windows Server 2003 SP1の設定ウィザードを実行すると、Windowsファイアウォールの影響でExchange Server 2003が以下のような不具合を発生する。

  1. Outlookユーザーが自分のアカウントに接続できない。
  2. サービスは正常稼働しているのに、Exchange Server 2003ポートへのリクエストに応答しなくなる。

■Exchange Serverデプロイメント・ツールを共有フォルダからインストールできない
 Windows Server 2003 SP1をインストールすると、セキュリティ強化の影響で、Exchange Serverデプロイメント・ツールをネットワーク上の共有フォルダから実行できなくなる。

■ActiveDirectoryのレプリケーションを実行しようとすると、Windows Server 2003ベースのドメイン・コントローラで「アクセス拒否」エラーが発生する
 Windows Server 2003 SP1(およびx64ベースのWindows Server 2003)では、RPCトラフィックに認証が必要になっており、この影響でActiveDirectoryのレプリケーションでエラーを発生する。

■ICFを有効化するとクラスタ・サービスが有効に機能しない
 Windows Server 2003 SP1をインストールしたコンピュータでICFを有効化すると、クラスタ・サービスが有効に機能しなくなる。この問題はセキュリティ構成ウィザードでの設定変更で回避可能である。

■Small Business Server 2003にWindows Server 2003 SP1をインストールすると、複数の不具合が発生する
 中小事業者向けにWindows Server 2003やExchange Server 2003などを安価なパッケージにまとめたSmall Business Server 2003(SBS 2003)には、現在のWindows Server 2003 SP1を慌てて適用しない方がよい。

 マイクロソフトによれば、SBS 2003にWindows Server 2003 SP1をインストールすると、次のような複数の不具合が発生することが確認されている。

  1. リモート・アクセス・ウィザードが接続マネージャの設定パッケージを生成しなくなる。

  2. サーバIPアドレスの変更ツールがエラーを発生する。

  3. FAXサービスが起動しなくなり、FAX設定ウィザードが終了不可になる。

 マイクロソフトは現在、SBS 2003用のSP1を準備しており、まもなく発表予定である。SBS 2003を利用しているなら、このSP1が登場するまでWindows Server 2003 SP1のインストールは控えた方がよいだろう。

■ISA Server 2004を利用するにはISA Server 2004 SP1の適用が必要
 Windows Server 2003上でISA Server 2004を利用している場合、Windows Server 2003 SP1をインストールするときには、必ずISA Server SP1もインストールする必要がある。ISA Server SP1は以下からダウンロードできる。

■Virtual Server 2005の管理Webサイトへのアクセスがエラー
 Windows Server 2003 SP1またはWindows XP SP2をインストールすると、セキュリティ強化によりVirtual Server 2005 管理WebサイトにアクセスするためのDCOMパーミッションが不足する。当該DCOMのセキュリティ設定を変更することで問題を回避できる。

■Application Center 2000実行中のサーバにインストールすると不具合が発生する
 アプリケーション負荷分散システムのApplication Center 2000を実行しているWindows Server 2003サーバに対し、SP1を適用すると、次のような複数の不具合が発生する。

  1. localhostにアクセスしようとするとブラウザにエラーが表示される。

  2. クラスタにメンバを追加しようとすると、ウィザードでエラーが発生する。

  3. Application Center管理コンソールで、メンバの[状態]列やヘルス・モニタの[状態]列に「不明」と表示される。

  4. アプリケーション・ログにエラーが出力される場合がある。

  5. 新しいクラスタ・コントローラを指定しようとすると、操作が失敗する。

 マイクロソフトは、「コンポーネント負荷分散(CLB)を使用している環境にはWindows Server 2003 SP1 はインストールしないように」と述べている。詳細は以下のサポート技術情報を参照のこと。

■Windows TimeサービスがイベントID 7023を発生させて起動しなくなる
 Windows Server 2003ベースのドメイン・コントローラにSP1をインストールすると、セキュリティ強化のためにWindows Timeサービスが起動しなくなる場合がある。この際イベントログには、ID 7023のエラーが記録される。

■Windows Server 2003 SP1のインストール時に「コピー エラー:Atapi.sys をコピーできません」が発生する

仮想CD-ROMイメージをマウントする(DAEMON Tools編)

 ISOイメージファイルをCD-ROMドライブとしてマウントするツールとして広く普及しているDAEMON Tools(またはAlcohol 120%)をインストールしたコンピュータにWindows Server 2003 SP1をインストールしようとすると、ファイルのコピー・エラーが発生する。DAEMON Toolsなどは一部のシステム・ファイルをロックしており、インストーラが既存ファイルをバックアップできないためにこのエラーが発生する。

■HTML Help機能を使う一部のWebアプリケーションが使用不能になる
 Windows Server 2003 SP1の適用により、HTML Helpの仕様が一部変更されるため、HTML Help機能を使う一部のWebアプリケーションが使用不能になったり、UNCパスで共有フォルダ上のCHMファイル(Compiled Help Module)を開いたときに、トピックが開けなかったりする場合がある。

■DCOMを使用するプログラムが正しく機能しない
 Windows Server 2003 SP1では、デフォルトのCOMパーミッションが変更されており、DCOMを使用するアプリケーションで不具合が発生する可能性がある。例えばバックアップソリューションのVeritas Backup Exec 8.6は、これが理由でバックアップ・タスクを起動できなくなるとのこと。

■MOM 2005でアクセス権違反が発生する
 Windows Server 2003+Microsoft Operations Manager 2005(MOM 2005)にWindows Server 2003 SP1をインストールすると、一部のアクセス権設定が変更になり、MOMの処理によってはエラーが発生する。

■MOM2005レポート機能のインストールでエラー
 HotFix Report BBSへの報告によれば、Windows Server 2003 SP1のコンピュータにSQL Server 2000とSQL Server 2000 Reporting Servicesをインストールしたのち、MOM 2005をインストールしようとすると、MOM 2005本体はインストールできるが、レポート機能(SQL Server 2000 Reporting Servicesを使用)は途中でエラーになる。

 この問題は、ループバック・チェックを無効化すると問題を回避できる。具体的な方法は次のページで紹介されているものと同じだ。

■Windows Server 2003 SP1環境にWindows SharePoint Servicesをインストールするとエラーが発生する
 Windows Server 2003 SP1をインストールした環境にWindows SharePoint Servicesをインストールすると、エラーが発生し、インストールを完了できない。

■IIS 5.1/6.0の統合認証ページを参照すると401.1エラーが発生する
 Windows Server 2003 SP1(IIS 6.0)やWindows XP SP2(IIS 5.1)では、コンピュータへのリフレクション・アタックを防止するため、ローカル・ループバックの検査が変更された。この影響で、統合認証が設定されたページを参照しようとすると、HTTP 401.1エラー(ログオンの失敗)が発生する場合がある。

■そのほかの不具合情報


[脆弱性情報]
Windows 2000のエクスプローラにスクリプト・インジェクションの脆弱性

情報の内容 脆弱性情報
情報ソース セキュリティ情報サイト
報告日 2005/04/19
脆弱性番号 CAN-2005-1191
対象環境 Windows 2000

 複数のセキュリティ情報サイトが公開した情報によれば、Windows 2000のエクスプローラにある「Webの表示」機能に脆弱性があり、ユーザーが攻撃用ファイルをクリックしただけで、ファイルに仕込まれた攻撃者のスクリプトが実行されてしまう。「Webの表示」はエクスプローラのデフォルト設定であり、すでに実証コードも公開されていることから攻撃リスクは非常に高まっている。

 ただし、影響があるのはWindows 2000のみで、Windows XPやWindows Server 2003には影響はない。

 修正プログラムはまだ提供されていないが、エクスプローラの[フォルダ オプション]の「Webの表示」を「従来のWindowsフォルダを使う」に変更し、「Webの表示」を使わないようにすれば、とりあえず攻撃を回避できる。


[管理ツール情報]
Windows Server Update ServicesのRC版が公開

情報の内容 管理ツール情報
情報ソース マイクロソフト
報告日 2005/04/11
対象環境 Windows 2000 Server/Windows Server 2003

 企業向け無償パッチ管理ツールとしてマイクロソフトが現在開発中のWindows Server Update Services(WSUS)の製品候補版(RC版)の公開が開始された。WSUSはSUS(Software Update Services)の後継であり、これにより企業内PCのパッチ適用を集中管理できる。WSUSでは、従来のSUSに比較し、対応ソフトウェアの拡充(SQL Server、Exchange Server、Office 2003、Office XPのサポートを追加)や、従来は弱かったレポート機能などが大幅に強化されている。

 WSUSのRC版は以下のページからダウンロードできる。


[Service Pack情報]
SQL Server 2000 Reporting Services SP2が公開

情報の内容 最新Service Pack情報
情報ソース マイクロソフト
報告日 2005/04/22
対象環境 SQL Server 2000 Reporting Services

 SQL Server 2000のアドオンとしてデータベースのレポート機能を提供する無償ソフトウェア、SQL Server 2000 Reporting Services向けのService Pack 2(以下SP2)が公開された。このSP2では、従来版SQL Server 2000 Reporting Servicesで見つかった不具合の修正に加え、レポートをIEから直接印刷する機能や、SharePoint Portal Serverサイトにレポートを表示可能にするSharePoint Webパーツなどの機能拡張も含まれる。SQL Server 2000 Reporting Services SP2は以下のページからダウンロードできる。

 ただしこのSP2を適用すると、現在使用しているレポート・サーバのデータベースが変更され、SP2適用前のReporting Servicesからはアクセスできなくなるので注意が必要だ。またReporting Services SP2はアンインストール機能がない。以前のバージョンに戻すには、Reporting Servicesをいったん削除した後、旧バージョンを再インストールする必要がある。


そのほかの不具合情報、追加情報

  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH