.

Release NEWS

マイクロソフト、IIS v4.0/5.0/5.1用の新たな累積的修正プログラムを公開

2002年10月31日更新版に加えて新たに4つのセキュリティ問題が修正される

（03/05/29）

“MS03-018”の解説ページ

　マイクロソフト（株）は29日、同社製のサーバーソフト「Internet Information Services」（以下、IIS）のセキュリティ問題を修正する「Internet Information Services用の累積的な修正プログラム」の2003年5月29日更新版を公開した。Windows NT 4.0/2000/XPを使用してIIS v4.0/5.0/5.1を稼働させているパソコンが、セキュリティ修正プログラムの対象となる。また、同社はセキュリティ問題の深刻度を上から“緊急”、“重要”、“警告”、“注意”の4段階でレベル分けしており、今回公開された累積的修正プログラムでは、“重要”レベルの問題1つ、“警告”レベルの問題2つ、“注意”レベルの問題1つが新たに修正される。現在同社のセキュリティ情報公開サイト“TechNet”上から、または“Windows Update”機能を利用して各バージョン用の修正プログラムを無償でダウンロードできる。

　今回公開された累積的修正プログラムでは、以前リリースされた2002年10月31日更新版の累積的修正プログラムの修正内容に加え、“重要”レベルの問題1つ、“警告”レベルの問題2つ、“注意”レベルの問題1つの合計4つのセキュリティ問題が修正される。4つの問題のうち“重要”レベルに定義されているのは、冗長なWebDAVリクエストが渡されると、IISが異常終了するという問題。“警告”レベルに定義されているのは、インクルードファイルへのリクエスト処理に起因する脆弱性を悪用されると、バッファオーバーラン攻撃の被害を受ける可能性がある問題と、ASPヘッダーを作成するリクエスト処理に起因する脆弱性を悪用されると、サービス拒否攻撃の被害を受ける可能性がある問題。“注意”レベルに定義されているのは、リダイレクトされたことを意味するエラーメッセージに存在するクロスサイトスクリプティングの問題となっている。

　なお、“MS02-050”で提供されたデジタル証明書確認に関する脆弱性の修正プログラムを適用せずに、今回公開されたIIS用の累積的修正プログラムを適用すると、クライアント側の証明書を拒否してしまうという不具合が発生するので注意が必要。もし不具合が発生してしまった場合にも、後から“MS02-050”を適用すれば不具合は解消されるとのこと。

□Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-018.asp
□【NEWS】マイクロソフト、デジタル証明書確認に関する脆弱性の修正プログラムを公開
http://www.forest.impress.co.jp/article/2002/09/05/certificatepatch.html

（竹元 克己）