マイクロソフトは、同社のWebアプリケーション・プラットフォーム「ASP.NET」に脆弱性が存在することを報告した。この脆弱性は、9月14日にToby
Beaumont氏がNTBugtraqにレポートしていたもので、正式にマイクロソフトが脆弱性の存在を認めたものだ。
・マイクロソフト(報告されたMicrosoft ASP.NETの脆弱性に関する情報):
http://www.microsoft.com/japan/security/incident/aspnet.mspx
・NTBugtraq(Security bug in .NET Forms Authentication):
http://www.ntbugtraq.com/default.asp?
pid=36&sid=1&A2=ind0409&L=ntbugtraq&F=P&S=&P=9884
脆弱性は、ASP.NETベースのWebサイトで細工されたリクエストがサーバに送信されると、適切なアクセス権を持たないユーザーがセキュリティで保護されたコンテンツを表示可能とするものである。「ディレクトリ・トラバース」と呼ばれる脆弱性が、ASP.NETに存在する。Windows
2000 Professional、Windows 2000 Server、Windows XP Professional、Windows Server 2003上でASP.NET(すべてのバージョン)を実行してコンテンツを公開しているサーバが、この脆弱性の影響を受けるとしている。前バージョンのASPには影響がない。
・キーワード ディレクトリ・トラバース(directory traverse):
http://www.hotfix.jp/archives/word/2004/word04-12.html
具体的には、URL内でバックスラッシュ(\)を%5C(%5Cはバックスラッシュの16進形式)と記述することで、セキュリティで保護されていても、認証がバイパスされ、コンテンツが表示可能となってしまう。場合によっては、ユーザー情報などが含まれたページが表示されてしまう危険性もある。情報漏洩につながる脆弱性なので、特にインターネットなどに向けて不特定多数の利用者に対してコンテンツを公開している場合には注意が必要だ。
マイクロソフトからこの問題に対する修正プログラムが、「サポート技術情報:887289」から提供されている。この修正プログラムは、ASP.NETにURLの正規化をチェックするためのモジュールを組み込むものだ。これにより、ASP.NETでページを実行する前に、HTTPリクエストに対してURLの正規化のチェックが実行されるようになる。
・サポート技術情報 887289(HTTP module to check for canonicalization issues with ASP.NET):
http://support.microsoft.com/default.aspx?scid=kb;ja;887289
|