2001年6月20日
シマンテック・エンタープライズ・セキュリティ・ソリューション、Microsoft Windows Index Server ISAPI エクステンションのSystemレベルでのリモートアクセスによって起こされるバッファオーバーフロー問題に対応
影響を受けるソフトウェア:
Microsoft Windows NT 4.0上のIIS 4.0
Windows 2000 Server上のIIS 5.0
Windows XP ベータ上のIIS 6.0ベータ
概要:
シマンテック・コーポレーションでは、Microsoft Windows NT 4.0上でIIS 4.0を稼動しているWebサーバーおよびWindows 2000上でIIS 5.0を稼動しているWebサーバーのインデックスサービスに使われるISAPIエクステンションに存在するバッファ・オーバーフローの脆弱性について注意と対策を促しています。この脆弱性は、Windows XPベータ上で稼動するベータ版のIIS 6.0にも存在します。この脆弱性は、上記のサーバーに対するサービス拒否(DoS)攻撃に利用される可能性があり、最悪の場合には攻撃者はSYSTEMレベルの権限を使って攻撃対象のサーバー上で任意のコードが実行されてしまい、そのWebサーバーに対する完全な制御を奪われるおそれがあります。
この脆弱性は、eEye Digital Security(イーアイ・デジタル・セキュリティー)によって発見され、マイクロソフトによって確認されました。
解説:
マイクロソフトによると、IISは幾つかのインターネットサービスAPI(ISAPI)エクステンションとして、IIS内部の機能を提供するダイナミック・リンク・ライブラリ(dll)をインストールします。 そのうちのひとつに"idq.dll"というdllがあり、それがこのページで問題となっているバッファ・オーバーフローの原因となっています。idq.dllは、インターネットデータの管理スクリプトファイル".ida"およびインターネットデータ検索ファイル".idq"をサポートします。indexing server 2.0およびindexing serviceは、webサーバーあるいはwebサイト上のデータを検索する際に全文検索とインデックスサービスを提供します。
この idq.dll がURLの入力を処理するコードの部分に、未チェックのバッファが含まれるためにセキュリティ上の脆弱性が発生します。この状態のwebサーバーとのセッションを確立できた場合、外部の攻撃者は、バッファ・オーバーフローが生じるような攻撃を仕掛けることで、少なくともそのサーバーをサービス拒否状態にさせることができ、最悪の場合は、標的のサーバー上で任意のコードを実行することができます。このような状況下で実行されるコードはローカルシステムのセキュリティコンテキストで動作するため、攻撃者はサーバーの完全な制御権を獲得し、標的となったサーバー上で事実上どのような操作でも実行可能になります。
攻撃者は、webセッションを確立できるサーバーであれば、どのサーバーに対しても、その脆弱性を利用して攻撃を仕掛けることができます。
注意:Index Server 2.0 (NT 4.0) または Indexing Service (Win2K) が稼動していないくても、攻撃者はこの脆弱性を利用することができます。IISを標準インストールしていた場合、必ずそのdllが一緒にインストールされます。
シマンテックでは、この脆弱性は極めて危険度が高い問題であると考えています。現在、IIS 4.0またはIIS 5.0をお使いのお客様はマイクロソフトから配布されている修正プログラムを直ちにインストールしてください。 修正プログラムをすぐにインストールできない場合は、.idaファイルと.idqファイルのスクリプト マッピングを削除することでシステムを一時的に保護することができます(詳しくはMSセキュリティ情報の「よく寄せられる質問」をご覧ください。
注意:[コントロール パネル]-[プログラムの追加と削除]を使ってWindowsのコンポーネントを追加すると、Windows がシステムの再構成を実行し、.idaファイルと.idqファイル両方のファイルのスクリプトマッピングが再度有効になる可能性があります。したがって、ファイルのスクリプト マッピングを削除する方法は、完全な対応策ではなく、修正プログラムを適用するまでの一時的な「回避策」に過ぎないことにご注意ください。
リスクレベル:
高
セキュリティ対策:
マイクロソフトは、この脆弱性に対応するhotfixをMS WinNT4.0およびMS Win2000用に開発しました。
MS WinNT4.0用のHotfixおよびMicrosoft Windows 2000 Server/Advanced Server用のHotfixは、Microsoft TechNet Securityサイトの該当セクションからダウンロードいただけます。また、同社はMicrosoft Windows 2000 Datacenter Serverをお使いのお客様に対し、各ハードウェア メーカーから配布されているハードウェアごとに個別の修正パッチの適用を推奨しています。Windows XPベータ版に関しては、この脆弱性は次回の更新版ベータおよび最終製品版で解消される予定です。この脆弱性が存在するシステムまたはアプリケーションをお使いのお客様は、直ちに適切な修正プログラムをダウンロード、インストールしてください。
シマンテックの法人・企業向けソリューション:
Enterprise Security Manager (エンタープライズ・セキュリティ・マネージャ)シマンテックのポリシー管理および脆弱性監査システム。同製品のESMパッチモジュールは、セキュリティパッチの更新管理を容易にします。この脆弱性を検知するパッチテンプレートは、Windows NT 4.0サーバー用とWindows 2000サーバー用に2種類配布されています。これらのテンプレートをインストールするには、次のリンクをクリックしてダウンロードし、ESM Managerの/esm/templateディレクトリに抽出してください。
注意:ESMの最新版のポリシーのアップデートは英語版ESMでのみ有効です。
日本語版ESMには決して適用しないよう、ご注意ください。
NetProwler(ネットプラウラー) シマンテックのネットワークベースの不正侵入検知ツール。セキュリティ・アップデート 8がインストールされているバージョンをお使いの場合、IIS 4.0/5.0サーバーに対するこの脆弱性を利用した攻撃の試みを検知します。NetProwler SU8は、同製品の自動更新機能を使ってダウンロードされます。
Copyright (c) 2001 by Symantec Corp.
このアドバイザリーの電子媒体による配信は、Symantec Security Responseに無断で改ざんを行わない場合に限り認められています。このアドバイザリーの一部または全部を電子媒体以外の媒体へ複製または印刷する場合は必ず事前に シマンテックの許可を受ける必要があります。
免責事項
このアドバイザリーは、発行時点で確認されていた情報を基に正確であると判断された情報で構成されています。記載情報の使用は、現状のまま使用することを条件に認められています。本書の記載内容について弊社は一切保証いたしておりません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本書の著者も発行者も一切責任を負いません。
Symantec、Enterprise Security Manager (ESM)、NetProwler、Sym Securityは、Symantec Corp.およびその関連会社の米国および各国における登録商標です。その他の商品名・会社名等はすべて各社の商標または登録商標です。
米国サイト最終更新日: 2001年6月20日(水) 18:45:18
|
ストアへ
企業・法人向け