Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
最終更新: 2001-06-21
各位
JPCERT-AT-2001-0010
JPCERT/CC
2001-06-20
<<< JPCERT/CC Alert 2001-06-20 >>>
Microsoft Index Server ISAPI Extension Buffer Overflow
Microsoft Index Server 2.0 および Indexing Server に含まれる DLL 中
にバッファオーバーフローの脆弱性が発見されました。この脆弱性により、第
三者がサーバー上で任意の操作を行うことが可能です。
対象となるのは、下記の組み合わせで稼働しているサーバーです。
Windows NT 4.0 + IIS + Index Server 2.0
Windows 2000 + IIS + Indexing Server
Windows XP Beta + IIS + Indexing Server
パッチ情報、および問題の詳細については下記の URL を参照して下さい。
Microsoft Security Bulletin(MS01-033)
[日本語版]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
[英語版]
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
Index Server および Indexing Server は IIS のインストールプロセスの
一部としてインストールされます。注意すべき点として、Web コネクションが
確立できれば Index Server が稼働していなくても、この脆弱性を悪用するこ
とが可能であることが挙げられます。
IIS サーバにおける .ida および .idq ファイルについてのスクリプト関連
付けを削除することで問題を避けることが可能ですが、関連するソフトウェア
のインストールでこの関連付けが復元されてしまうことがあります。根本的に
脆弱性を解決するためにはパッチの適用が必要です。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡下さい。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ