Microsoft IIS 5.0 の脆弱性に関する注意喚起
最終更新: 2003-03-18
各位
JPCERT-AT-2003-0003
JPCERT/CC
2003-03-18
<<< JPCERT/CC Alert 2003-03-18 >>>
Microsoft IIS 5.0 の脆弱性に関する注意喚起
Vulnerability of Microsoft IIS 5.0
http://www.jpcert.or.jp/at/2003/at030003.txt
I. 概要
Microsoft IIS 5.0 の WebDAV 機能にバッファオーバーフローの脆弱性が発
見されました。結果として、遠隔から第三者が IIS を実行しているユーザの
権限 (標準では LocalSystem) を取得する可能性があります。
※ WebDAV は、Microsoft IIS 5.0 において標準で有効になっています。
この脆弱性を使った攻撃手法が既に公開されていますので、Microsoft IIS
5.0 を使用している場合は、早急に対策を講じることを強くお勧めします。
詳細については、以下の URL で示されるページを参照してください。
CERT Advisory CA-2003-09
Buffer Overflow in Microsoft IIS 5.0
http://www.cert.org/advisories/CA-2003-09.html
CIAC Bulletin N-054
Microsoft Unchecked Buffer in Windows Component Could Cause Web Server Compromise
http://www.ciac.org/ciac/bulletins/n-054.shtml
マイクロソフト セキュリティ情報
Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される (MS03-007)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp
II. 対象
IIS 5.0 が稼動している以下の Microsoft Windows です。
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional
III. 解決方法
この問題は、マイクロソフトが提供している修正プログラムを適用すること
で解決します。修正プログラムの適用方法などの詳細については、以下の文書
を参照してください。
マイクロソフト セキュリティ情報
Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される (MS03-007)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp
また、修正プログラムの適用が困難、もしくは不可能な場合の一時的な回避策
については、以下の文書内の「回避策」を参照してください。
マイクロソフト セキュリティ情報 (MS03-007):よく寄せられる質問
http://www.microsoft.com/japan/technet/security/bulletin/fq03-007.asp
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ