[HotFix Report 2004/12/17] MS04-042

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

　
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert：2004/12/17日版

【登録日】2004/12/16

【更新日】2004/12/17

詳細

HFR BBS会議室

MS04-042

深刻度

	1（緊急）
→	2（重要）
	3（警告）
	4（注意）

攻撃コードの有無

なし

対策

早期適用

再起動の必要性

必要

アンインストール

可

対象環境

○	サーバ
	クライアント

セキュリティ情報

MS04-042（日本）
MS04-042（US）

サポート技術情報

885249

よく寄せられる質問

セキュリティ情報
（fq04-042）

含まれる過去の修正

なし

脆弱性識別番号

CAN-2004-0899
CAN-2004-0900

MS04-042／885249

Windows NT Server 4.0のDHCPリクエスト処理の脆弱性により、リモートでコードが実行される危険性

（DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる）

緊急対応度：適用作業の早期開始

危険性

脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

小							●				大
←	SP待ち				早期適用				緊急適用		→

　Windows NT Server 4.0のDHCP（Dynamic Host Configuration Protocol）サーバにバッファ・オーバーフローの脆弱性が存在する。攻撃対象のサーバと通信するプログラムを作成し、ある細工したDHCPメッセージをサーバに送信することで攻撃が実行される。このようなメッセージを受け取ると、DHCPサービスが異常終了し、コードが実行されるか、サービス拒否が起きる。DHCPの接続を開始するために使用されるUDPポート67番／68番の受信が、ファイアウォールなどによってブロックされていない場合、インターネットからの攻撃を受ける可能性がある。なお、マイクロソフトによればDHCPが利用するこれ以外のポートが攻撃に悪用される可能性もあるとしている。ただし、現時点で最も攻撃の可能性が高いポートがUDPポートの67番／68番であるということだ。

　脆弱性が存在するのは、Windows NT Server 4.0でDHCPサーバ・サービスを起動している場合のみである。そのほかのWindows 2000 ServerやWindows Server 2003のDHCPサーバ・サービスには、MS04-042の脆弱性は存在しない。

　マイクロソフトによれば、MS04-042の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、最近では脆弱性が公開されると、1カ月程度で実証コードや悪用した攻撃が現れるので注意が必要だ。MS04-042の脆弱性は、インターネットを介したリモートによる攻撃が可能なものであるため、Windows NT Server 4.0でDHCPサーバを運用している場合は、早期に修正プログラムの適用を行っていただきたい。

概要

　Windows NT 4.0 ServerのDHCPサーバに「ログ機能の脆弱性」と「DHCPリクエストの脆弱性」が存在する。DHCPとは、ネットワーク・クライアントに対して、IPアドレスやサブネットマスクなどのネットワーク情報を動的に割り当て可能にするプロトコルのこと。本来TCP/IPネットワークでは、IPアドレスなどのネットワーク設定を各クライアントごとに行わないと正しく通信できないが、DHCPを利用することで、クライアント側の設定は「サーバから必要な情報を取り出す」という単純かつ共通の構成にしておくことが可能になる。面倒なネットワーク設定が省略でき、一元的なネットワーク管理が可能になる。Windows 9xやWindows NT 4.0、MacOSなどでDHCPのクライアント・モジュールが標準添付されるようになり、広く利用されるようになっている。

　ログ機能とDHCPリクエストのどちらの脆弱性も、DHCPサーバ・サービスがネットワーク・パケットに含まれる値を検証する方法に、未チェック・バッファの脆弱性が存在することに起因する。マイクロソフトによれば、これらの脆弱性を悪用した最も可能性の高い攻撃はサービス拒否であるとしている。ただし最悪の場合、任意のコードが実行され、コンピュータの制御が完全に奪われる危険性もある。

対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Windows NT Server 4.0	Windows NT Server 4.0 SP6a
Windows NT Server 4.0 Terminal Server Edition	Windows NT Server 4.0 Terminal Server Edition, SP6

‥‥‥ DA Lab：HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム	適用テスト結果
Windows NT Server 4.0 SP6a	○
Windows NT Server 4.0, Enterprise Edition SP6a	○

■DHCPサーバを再インストールしたら修正プログラムの再適用も必要
　MS04-042の修正プログラムを適用した後で、DHCPサーバをインストールし直した場合は、再度MS04-042の修正プログラムも適用すべきである。これはDHCPサーバをインストールする際、DHCPサーバ関連のファイルが古いバージョンに置き換わってしまい、脆弱性が復活してしまうことがあるためだ。特に、修正プログラムの適用／未適用をレジストリだけで確認する管理ツールを使用している場合、DHCPサーバの再インストールによる古いバージョンでのファイルの上書きを検出できない可能性があるため、注意が必要である。

■MBSA 1.21の結果
　MS04-042の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (885249)」が表示される。

‥‥‥ 修正プログラムのダウンロード先 ‥‥‥

プラットフォーム	ダウンロード・センター	Windows Update／Office Update／SUSの表示
Windows NT Server 4.0 SP6a	→ MSへ	Windows NT 用セキュリティ更新プログラム (KB885249)
Windows NT Server 4.0 Terminal Server Edition, SP6	→ MSへ	－

‥‥‥ 適用されるファイル情報 ‥‥‥

　以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
　
Windows NT Server 4.0 SP6a：

ファイル名	日付	バージョン	サイズ
WindowsNT4Server-KB885249-x86-JPN.exe	2004/10/25	5.4.15.0	140,624

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%SystemRoot%\system32\
dhcpssvc.dll	2004/10/20	4.0.1381.7313	141,872	DHCP Server Service

　　
Windows NT Server 4.0 Terminal Server Edition, SP6：

ファイル名	日付	バージョン	サイズ
WindowsNT4TerminalServer-KB885249-x86-JPN.exe	2004/12/03	5.4.15.0	140,648

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%SystemRoot%\system32\
dhcpssvc.dll	2004/12/02	4.0.1381.39818	141,872	DHCP Server Service

‥‥‥ 確認方法 ‥‥‥

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows NT Server 4.0 SP6a／Terminal Server Edition SP6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB885249\Installedのデータが1であること

‥‥‥ 参考情報 ‥‥‥

　何らかの理由から直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性の回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■UDPポート67番／68番の受信をファイアウォールでブロックする
　DHCPサーバとの接続を開始するために使用されるUDPポート67番／68番をファイアウォールでブロックすることで、インターネットからの攻撃を回避できる。ただしイントラネット内に侵入されたワームなどからの攻撃は防げないので注意が必要だ。

予想適用時間

修正プログラム名	50台	100台	250台	500台
WindowsNT4Server-KB885249-x86-JPN.exe （Windows NT Server 4.0 SP6a）	24分	33分	58分	1時間40分

1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。

UpdateEXPERT上の表示

・Windows NT Server 4.0 SP6a：
UpdateEXPERT 5.1：［展開ビュー］－［IIS］タブに「名前：NT4SVR-KB885249-x86-JPN.exe」で登録
UpdateEXPERT 6.1：［展開ビュー］－［IIS］タブに「名前：WindowsNT4Server-KB885249-x86-JPN.exe」で登録

・Windows NT Server 4.0 Terminal Server Edition SP6：
UpdateEXPERT 5.1／6.1：サポート対象外

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。