N E W S
2002年 4月13日発行

◎MicrosoftはIISの10の脆弱性パッチをリリース

 Microsoftは4月10日、Webサーバソフト「Internet Information Server」(IIS)の「重要な」 セキュリティパッチをリリースした。
このパッチは、同ソフトを走らせているコンピュータを、アタッカーに完全に乗っ取られる恐れがある 10の新しいセキュリティホールに対処するもの。

 同社は、Windows NT 4.0、Windows 2000、またはWindows XP Professional上でWebサイトを 運営している顧客に、すぐにこのパッチをインストールするよう勧めている。

 Microsoftは、これら脆弱性のうち3つが、IIS 4.0/5.0/5.1すべてに対して、 うち1つがIIS 4.0/5.0に対して重大な影響を及ぼすとしている。
ほかの脆弱性については、セキュリティに及ぼす脅威は「中」あるいは「低」とされている。
 似たようなタイプの幅広い脆弱性によって、過去には、IISを走らせている多くのWebサーバが、 Code Redワームの攻撃を受けやすくなっているという状況があった。

 今回発見された脆弱性の多くは、いわゆるバッファオーバーフロー、 またはWebサイトをダウンさせるサービス拒否(DoS)攻撃に関連したもの。
バッファオーバーフローは、アタッカーがフィールド(通常はアドレスバー)を、 処理しきれない量の文字であふれさせるというもの。
処理しきれなかった文字列が実行可能なコードとして動作することがあり、 アタッカーはこれによりセキュリティ対策をすり抜けてコンピュータを支配することができる。

 Microsoftは、IISを利用している顧客に、パッチを個別にダウンロードするか、 あるいはWindows XPの場合は自動アップデート機能を使ってパッチを入手するよう勧めている。
 IIS 4.0のパッチを適用するには、Windows NT ServerにService Pack 6aがインストール されている必要がある。
 IIS 5.0のパッチは、Service Pack 1または2がインストールされたWindows 2000に適用できる。
 また、IIS 5.1のパッチはWindows XP Professionalシステムにインストールするよう勧めている。

 IIS 5.0のパッチは、現在ベータテスト中のWindows 2000 Service Pack 3に含まれる予定。
 IIS 5.1のパッチは、来月ベータテストが始まる予定のWindows XP Service Pack 1に含まれる見通し。

 Microsoftは、IISを利用している顧客に対し、これらのパッチを適用した上に、 IIS Lockdown Tool 2.1を使用するよう勧めている。
このツールは、悪用される恐れのある脆弱性を持つ不要な機能がオンになっていた場合、 その機能をオフにする。





「Close」ボタンをクリックしても閉じない場合は、
タイトルバーの「×」ボタンをクリックして閉じて下さい。

αIT いかんbeとちぎ推進委員会 webmaster@alphait.co.jp