ファイル名などを適切に処理しないことで発生するディレクトリ・トラバースの脆弱性がBusiness Objects社のCrystal ReportsとCrystal Enterpriseに存在するため、ファイルの取得や削除が行われる危険性がある。Visual Studio .NET 2003は、Crystal Reportsのカスタム・バージョンを含んでおり、これはデフォルトでインストールされる。従ってVisual Studio .NET 2003を利用している場合は、なるべく早く適用作業を行った方がよい。

　なお、現在のところMS04-017の脆弱性を悪用する攻撃コードは報告されておらず、エクスプロイト・コードも公開されていない。ただしWebアプリケーションとデータベースのセキュリティ・ソリューションを提供しているImperva社のレポートによると、Crystal Reportsの脆弱性は以下のような簡単なURLの入力などによって攻撃可能だとしている。

・Imperva社のCrystal Reportsの脆弱性に関するレポート：
http://www.imperva.com/application_defense_center/papers/crystal_reports_8-jun-2004.html

　MS04-017の脆弱性は、Crystal ReportsとCrystal Enterpriseが、特定のHTTPリクエストに対して正しく入力検証を行わないことに起因する。特別なHTTPリクエストを受け取ると、Crystal ReportsまたはCrystal Enterprise Web Viewersを介し、ファイルの取得や削除が行われる危険性がある。

　Visual Studio .NET 2003／Outlook 2003 with Business Contact ManagerはCrystal Reportsのカスタム・バージョンを、Microsoft Business Solutions CRM 1.2ではCrystal Enterprise 9.0 SDKをそれぞれ含んでいるため、脆弱性の影響を受ける。ただし、Outlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2は現在のところ日本語版は提供されていない。事実上、日本語環境ではVisual Studio .NET 2003のみがMS04-017の脆弱性の対象となる。

　攻撃が実行されるには、Visual Studio .NET 2003がインストールされたコンピュータ上でInternet Information Services（IIS）が稼働していることが条件となる。IISを利用していない場合は、IISを無効化することで脆弱性を回避可能だ。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■修正プログラムの適用時にインストールCDが要求される
　Visual Studio .NET 2003にMS04-017の修正プログラムを適用する際、インストールCDが要求される。適用時にインストールCDをCD-ROMドライブに入れておくか、参照されるDisc1の「vs_setup.msi」を事前にハードディスクにコピーしておくとよい。

■MBSA 1.2の結果
　MBSA 1.2では、Visual Studio .NET 2003の検出をサポートしていない。DA LabでMBSA 1.2を試したところ、MS04-017はまったく表示されなかった。CrystalDecisions.Web.dllのファイル・バージョンで確認する必要がある。

　ディレクトリ・トラバースの脆弱性は、多くの場合「\」や「..」などの記号を適切に処理しないことに起因する。例えば、ディレクトリ区切り文字として使用される「\」を「%5c」という文字列にエンコードしてURLに記述することで、本来は許可されないページやファイルへのアクセスが許されてしまう、といった脆弱性だ。

　Business Objects社のCrystal ReportsとCrystal Enterpriseにディレクトリ・トラバースの脆弱性が存在し、ファイルが取得されてしまったり、削除されてしまったりする危険性がある。Visual Studio .NET 2003には、Crystal Reportsが含まれており、デフォルトでインストールされるため、脆弱性の影響を受けることになる。

　ただしこの脆弱性の影響を受けるのは、Visual Studio .NET 2003がインストールされているコンピュータ上でIISが稼働している場合だ。また、Crystal_Managed2003.msmマージ・モジュールを使用してCrystal Reportsでカスタム・ソリューションを作成している場合には、この脆弱性の影響を受ける可能性がある。

　カスタム・ソリューションを作成している場合は、Visual Studio .NET 2003にMS04-017の修正プログラムを適用後、再ビルドを行う必要がある。ただし、修正プログラムの影響によりカスタム・ソリューションが動作しなくなる危険性もあるので、運用環境以外のコンピュータで事前にテストを行いたい。

　なお脆弱性の有無は、CrystalDecisions.Web.dllの存在と、そのバージョンが「9.1.9800.9」よりも古いかどうかを調べることで確認できる。もし、古いバージョンのCrystalDecisions.Web.dllが含まれている場合は、修正プログラムを適用すること。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

Visual Studio .NET 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{981DFBF2-F25F-4C20-A2B3-AC64EAA6DD83}
または
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Visual Studio\7.1\M841870