| 最大深刻度 |
重要 |
| 報告日 |
2006/07/12 |
| MS Security# |
MS06-034 |
| MSKB# |
917537 |
| 対象環境 |
Windows 2000/Windows XP/Windows Server 2003 |
| 再起動 |
不要(必要な場合あり) |
| HotFix Report BBSスレッド |
MS06-034 |
セキュリティ・ホールの概要と影響度
Internet Information Services(IIS)がActive Server Pages(ASP)を処理する部分に未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。攻撃は、ASPを利用したWebコンテンツをアップロードすることで実行される。
ASPには、サーバ側で処理されるスクリプトが含まれており、ユーザーのブラウザへHTMLが送信される前に、IISによって処理が行われる。この過程に未チェック・バッファの脆弱性が存在し、細工されたASPがアップロードされ、それを処理するように仕向けられると、任意のコードが実行されてしまう。攻撃を実行するには、細工したASPファイルをWebサーバにアップロードする必要があるが、Webコンテンツのアップロードには認証を必要とする場合が多く、この認証が破られない限り、攻撃は難しい。
対象プラットフォーム
今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要である。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Windows 2000 |
Windows 2000 SP4 |
| Windows XP |
Windows XP SP1/SP1a/SP2 |
| Windows Server 2003 |
Windows Server 2003 SP未適用/SP1、Windows Server 2003 R2 |
適用に関する注意点
公開当初、Windows Update(WU)やMicrosoft Update(MU)、自動更新、WSUS(Windows Server Update Services)ではMS06-034の修正プログラムが正しく適用できない、あるいは検出に失敗する、という問題が発生することが判明した。そのため、7/17(米国時間)にWU/MU/自動更新/WSUSにおいて、適用方法や検出方法が修正された。
■Windows Server 2003 SP1では適用に失敗する
MS06-034のWindows Server 2003向け修正プログラムは、SP1に限って「ホットパッチ」という、適用後の再起動を不要にする適用方法が利用できる。だが特定のサードパーティ製のソフトウェアを導入している場合など、ケースによってはこのホットパッチが利用できず、再起動が要求されることがある。さらにWU/MU/自動更新/WSUSでは、適用に失敗しているにもかかわらず、適用に成功したと報告される場合があったという。
■修正プログラムの検出方法の改善
システムの状態によっては、MS06-034の修正プログラムが適用済みにもかかわらず、WU/MU/自動更新/WSUSで再適用が求められることがあった。例えばIISをインストールしてはいるが、WWWサービスが存在しない場合(WWWサービスを停止するかアンインストールし、IISの管理ツールだけがインストールされている状態など)、MS06-034の適用後、その検出に失敗することがあった。このような状況を正しく検出し、必要な場合だけ(更新対象のASP.DLLがインストールされている場合だけ)、修正プログラムを適用したり、適用済みの検出を行ったりするようになった。
|
