このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2004/01/16日版

   
【登録日】2004/01/15
【更新日】2004/01/20
深刻度
  1(緊急)
  2(重要)
3(警告)
  4(注意)
対策
早期適用
再起動の必要性
なし(IISなどの再起動あり)
アンインストール
対象環境
サーバ
  クライアント
セキュリティ情報
MS04-002(日本)
MS04-002(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq04-002
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2004/01/14 セキュリティ情報ページを公開
MS04-002/832759
Exchange Server 2003のOutlook Web AccessにおけるNTLM認証の脆弱性により、他人のメールボックスに接続可能になる危険性
(Exchange Server 2003 の脆弱性により、権限が昇格する)
 

対応策: なるべく早く修正プログラムの適用作業を開始してください。
 
概要

 Outlook Web Access(OWA)を実行する際のフロントエンドとバックエンドのExchange Server 2003間での認証処理に脆弱性が存在します。この脆弱性により、OWAを介してメールボックスにアクセスしているユーザーが、別のユーザーのメールボックスに接続できる危険性があります。攻撃者によってアクセスされる可能性のあるメールボックスは、直前にその所有者がOWAでアクセスしたものに限定されます。そのため、この脆弱性を悪用する攻撃者は、どのメールボックスに接続するかを自身で制御することはできません。ただし攻撃者によって、正当なユーザーに可能な任意の操作(メールの読み取り/送信/削除、カレンダーの管理など)が実行される危険性があります。

 攻撃者が攻撃を実行するには、フロントエンドのExchange Server 2003で認証される必要性があります。フロントエンドとバックエンドに分けてExchange Server 2003を構成し、かつOWAを使用している場合にのみこの脆弱性の影響があります。このような環境でExchange Server 2003を利用している場合、この脆弱性により、攻撃の意図がないユーザーでも、別のユーザーのメールボックスにアクセスしてしまう危険があり、プライバシー保護の観点で問題を起こす可能性があります。なるべく早く修正プログラムを適用してください。

 それ以外の環境でExchange Server 2003を利用している場合でも、設定変更などにより脆弱性が顕在化する可能性があるので、念のため定期メンテナンスなどでメールの送受信を停止するときに修正プログラムの適用を行ってください。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
 
影響を受けるソフトウェア 対象プラットフォーム
Exchange Server 2003 Exchange Server 2003Enterprise Edition/Standard Edition
(注意)Exchange Server 2003は、UpdateEXPERTのサポート対象外です。
 
詳細情報

 OWAをフロントエンドのExchange Server 2003で実行し、バックエンドのExchange Server 2003との認証方法にNTLM認証を使っている場合に脆弱性が存在します。Exchange Server 2003のデフォルトの構成では、Kerberos認証が有効となっているため、NTLM認証は利用されません。ただしInternet Information Services(IIS)の仮想サーバがWindows SharePoint Services(WSS)で拡張された場合、仮想サーバが統合Windows認証を使用するよう構成変更され、明示的にKerberos認証が無効化されます。この構成変更により、Exchange Server 2003間の認証方法としてNTLM認証が利用されるようになります。NTLM認証を使用している場合、HTTP接続が再使用されるため、他人のメールボックスに接続されるという脆弱性が起こります。

 つまり、脆弱性が顕在化するのは、以下の条件をすべて満たしている場合です。

  • フロントエンドのExchange Server 2003上でOWAを利用している
  • Exchange Server 2003をフロントエンドとバックエンドに分けて複数台で運用している
  • Windows Server 2003上でバックエンドのExchange Server 2003を実行している
  • バックエンドのExchange Server 2003を実行しているWindows Server 2003上で、明示的にKerberos認証を無効化している。または、IISの仮装サーバをWSSで拡張した結果、Kerberos認証が無効になっている
 
DA Lab:HotFixテスティング・チームからのコメント

 MS04-002の修正プログラムは、適用後のコンピュータの再起動は不要です。ただしこの修正プログラムは、適用時にIISと依存するサービスを再起動します。そのため修正プログラムの適用時は、すべてのメール・メッセージのルーティングが停止します(メールの送受信が中断します)。メールが失われないように、メールの送受信を停止してから修正プログラムの適用を開始してください。

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
ファイル名 日付 バージョン サイズ
Exchange2003-KB832759-x86-jpn.exe 2003/12/30 5.3.18.5
470,256
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %EXSRVROOT%\bin\
exprox.dll 2003/12/19 6.5.6980.57
396,800
Windows NT 用 Microsoft Exchange Exprox の実装
 
確認方法

 以下のレジストリ・キーを確認してください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 2003\SP1\832759

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

http://www.microsoft.com/downloads/details.aspx?FamilyId=9542F949-D09B-4199-A837-FBCFC0567676&displaylang=ja

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・フロントエンド・サーバでHTTP接続の再使用を無効にする
 Exchange Server 2003はパフォーマンス向上のため、フロントエンドとバックエンド・サーバ間のHTTP接続を再使用するようにデフォルトで設定されています。Exchange Server 2003のフロントエンド・サーバで接続の再使用を無効化にすることで、この脆弱性を回避可能です。ただし、HTTP接続の再使用の設定を無効化にした場合、OWAを使用したメールボックスへのアクセスで、若干のパフォーマンスの低下が発生します。

 HTTP接続の再使用をExchange Server 2003で無効化する方法は、「サポート技術情報:832749(Microsoft Exchange Server 2003フロントエンド サーバーでHTTP接続の再使用を無効にする方法)」を参照してください。

・サポート技術情報 832749(Microsoft Exchange Server 2003フロントエンド サーバーでHTTP接続の再使用を無効にする方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;832749

・Kerberos認証を使用するようにWindows SharePoint Servicesの構成を変更する
 この脆弱性が悪用される既知の構成は、バックエンド・サーバでOWAがホストされているIISの仮想サーバで、Kerberos認証が無効にされている場合です。Windows SharePoint Services(WSS)が同じ仮想サーバにインストールされている場合、この構成となります。そこでIISとWSSにおいて、Kerberos認証を使用するように構成を変更することで、脆弱性を回避することが可能です。IISとWSSでKerberos認証を使用するように構成を変更する方法は、「サポート技術情報:832769(Kerberos認証を使用するようにWindows SharePoint Servicesを構成する方法)」を参照してください。

・サポート技術情報 832769(Kerberos認証を使用するようにWindows SharePoint Servicesを構成する方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;832769

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。