Windows HotFix Briefings

緊急セキュリティ情報
VS.NET 2003のCrystal Reportに情報漏えいにつながる脆弱性

―― 情報漏えいやサービス拒否攻撃の危険性 ――

DA Lab Windowsセキュリティ
2004/06/15

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 月例の修正プログラム公開日である2004年6月9日、マイクロソフトは、以下の2つの脆弱性を公表し、それを解消する修正プログラムの提供を開始した。

 今回公開された脆弱性は、DirectPlay(DirectX)とCrystal Report(VS.NET 2003)に関連するもので、影響を受ける環境は限定的である。最大深刻度は「警告」レベル(4段階中の上から3番目)と、緊急度はそれほど高くない。ただし影響がある環境では、情報漏えいなどにつながる恐れもあるので、修正プログラムの適用などの対策が必要だ。

MS04-016839643
DirectPlayの脆弱性により、サービス拒否が発生する危険性

最大深刻度 警告
報告日 2004/06/09
MS Security# MS04-016
MSKB# 839643
対象環境 Windows 2000+DirectX 7.0/Windows 2000+DirectX 8.0/Windows 2000+DirectX 8.1/Windows XP+DirectX 8.1/Windows Server 2003+DirectX 8.1/DirectX 8.2/DirectX 9.0
再起動 なし(ただしファイルが使用中の場合は再起動が必要)

セキュリティ・ホールの概要と影響度

 現在では主にリアルタイム性の高いゲーム向けAPIとして使われているDirectX中のDirectPlay API(IDirectPlay4)に脆弱性があり、サービス拒否攻撃を許容する危険がある。DirectPlayは、ネットワーク対戦ゲームの開発を支援するDirectX同梱のネットワーク・プロトコルである。IDirectPlay4 APIのパケット検証が不十分なため、不正なパケットを受信すると異常終了してしまう。この場合でも、DirectPlayアプリケーションを再起動すれば機能は回復するが、この脆弱性が悪用されるとサービス拒否攻撃が可能だ。

 問題のIDirectPlay4は、DirectX 6.0以降に含まれており、最新のDirectX 9.0bでもサポートされている。ただし攻撃が可能なのは、IDirectPlay4 APIがインストールされているだけでなく、これを利用したアプリケーションが実行中の場合に限られる。現行のネットワーク・ゲームのほとんどは、IDirectPlay8を利用しており、今回の脆弱性の影響は受けない。また通常、IDirectPlay4を利用するのはネットワーク・ゲームであり、ビジネス・アプリケーションでは使われないので、この脆弱性が企業ユーザーに及ぼす影響は小さいと考えられる。

対象プラットフォーム

 今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、表中の「対象プラットフォーム」にあるService Packの事前適用が必要だ。

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000+DirectX 7.0 Windows 2000 SP2/SP3/SP4+DirectX 7.0
Windows 2000+DirectX 8.0 Windows 2000 SP2/SP3/SP4+DirectX 8.0/8.0a
Windows 2000+DirectX 8.1 Windows 2000 SP2/SP3/SP4+DirectX 8.1/8.1a/8.1b
Windows XP+DirectX 8.1 Windows XP SP未適用/SP1/SP1a+DirectX 8.1
Windows Server 2003+DirectX 8.1 Windows Server 2003+DirectX 8.1
DirectX 8.2 Windows 2000 SP2/SP3/SP4、Windows XP SP未適用/SP1/SP1a+DirectX 8.2
DirectX 9.0 Windows 2000 SP2/SP3/SP4、Windows XP SP未適用/SP1/SP1a、Windows Server 2003+DirectX 9.0/9.0a/9.0b
脆弱性の含まれるDirectXのバージョンと動作環境

 このように今回は、Windows 98/98 SE/Me向けの修正プログラムは提供されない。Windows 98/98SEではDirectX 7.0aが、Windows MeではDirectX 7.1がそれぞれサポートされており、これらにはIDirectPlay4 APIが実装されている。従って脆弱性の影響は受けるが、マイクロソフトは、この脆弱性は「緊急ではない」として修正プログラムは提供していない(Windows 98/98SE/Meについては、緊急と判断した修正プログラムのみ提供を行うとしている)。Windows 98/98 SE/Meでネットワーク・ゲームを利用しているユーザーは注意が必要である。Windows 98/98 SE/Meのユーザーは、DirectX 9.0bをインストールし、MS04-016の修正プログラムを適用することにより、脆弱性を回避できる。

 
MS04-017842689
Crystal Reportsの脆弱性により、ファイルの取得や削除が行われる危険性

最大深刻度 警告
報告日 2004/06/09
MS Security# MS04-017
MSKB# 842689
対象環境 Visual Studio .NET 2003
再起動 なし(ただしファイルが使用中の場合は再起動が必要)

セキュリティ・ホールの概要と影響度

 マイクロソフトの最新のソフトウェア開発環境であるVisual Studio .NET 2003(以下VS.NET 2003)に付属のレポート・ツール「Crystal Report」に脆弱性があり、情報漏えいやサービス拒否攻撃の危険があることが公表された。Crystal Reportは、米Business Objects社が開発したレポーティング・ツールで、これを利用することで、Webアプリケーションにチャートや帳票などの出力機能を簡単に追加できる。Crystal Reportの詳細については関連記事を参照されたい。

Crystal Reportの詳細

 このCrystal Reportの脆弱性は、特定のHTTP要求を処理する際に適切な入力検査を実施していないことに起因する。このためCrystal Reportを実行しているコンピュータから、ファイルの取得や削除が実行されたり、サービス拒否攻撃を許容したりする。マイクロソフトは、Crystal Reportのカスタム版を自社のいくつかの製品に添付している。しかし日本語版が提供されているのはVS.NET 2003のみである(ほかはOutlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2がある)。

 今回の脆弱性の影響を受けるコンピュータは、VS.NET 2003をインストールして(Crystal Reportコンポーネントはデフォルトでインストールされる)、かつWebサーバであるIISを実行しているものに限られる。一般にWebアプリケーションの開発者は、自身のコンピュータにIISをインストールして、Webアプリケーションの実行テストを行う。このようなコンピュータは攻撃対象になるので、修正プログラムを適用して脆弱性を解消する必要がある。VS.NET 2003をインストールしていても、IISをインストールしていない場合は脆弱性の影響は受けない。従ってIISを無効にすれば、修正プログラムを適用しなくても、一時的に脆弱性の影響を回避できる。

 また開発環境だけでなく、VS.NET 2003でCrystal Reportsを利用したカスタム・ソリューションを作成した場合、今回の脆弱性の影響を受ける可能性がある。VS.NET 2003からCrystal_Managed2003.msmマージ・モジュールを使用した場合には、回避策の情報や修正プログラムをマイクロソフトやCrystal Reportの開発元であるBusiness Objects社から取得し、対応する必要がある。ただしカスタム・ソリューションと修正プログラムの互換性はマイクロソフトもBusiness Objects社も保証しないとしている。

対象プラットフォーム

 今回修正プログラムが提供される環境はVS.NET 2003のみである。

影響を受けるソフトウェア 対象プラットフォーム
Visual Studio .NET 2003 Visual Studio .NET 2003

 なお修正プログラムの適用時には、VS.NET 2003インストールCDが要求されるので、インストールCDをCD-ROMドライブに挿入してから適用作業を開始する。CD-ROMドライブのないノートPCなどに適用する場合には、VS.NET 2003のインストールCDから必要なファイル(Disc1の「vs_setup.msi」)を事前にハードディスクにコピーしておくとよい。

 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間