[HotFix Report 2005/06/17] MS05-028

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

　
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert：2005/06/17日版

【登録日】2005/06/16

【更新日】2005/06/17

詳細

HFR BBS会議室

MS05-028

深刻度

	1（緊急）
→	2（重要）
	3（警告）
	4（注意）

攻撃コードの有無

なし

対策

早期適用

再起動の必要性

必要

アンインストール

可

対象環境

○	サーバ
○	クライアント

セキュリティ情報

MS05-028（日本）
MS05-028（US）

サポート技術情報

896426

含まれる過去の修正

なし

脆弱性識別番号

CAN-2005-1207

MS05-028／896426

WebClientサービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性

（WebClientサービスの脆弱性により、リモートでコードが実行される）

緊急対応度：適用作業の早期開始

危険性

脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

小							●				大
←	SP待ち				早期適用				緊急適用		→

　WebClientサービスに未チェック・バッファの脆弱性が存在し、WebDAV経由で細工されたリクエストを受信すると、リモートで任意のコードが実行される危険性がある。WebClientは、インターネット経由でファイルを作成したり修正したりするために利用されるサービスだ。

　この攻撃を実行するためには、攻撃対象となるコンピュータの有効なログオン資格情報を所有していることが条件になるとしている。そのため、匿名ユーザーがリモートでこの脆弱性を悪用することは困難である。ただし、ほかの脆弱性と合わせて、ワームやウイルスなどに悪用される可能性が懸念される。

　マイクロソフトによれば、MS05-028の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。すぐにウイルスやワームなどに悪用されることはないと思われるが、リモートで任意のコードが実行できる脆弱性なので、早期に修正プログラムの適用を行った方がよい。なおWindows XP SP2とWindows Server 2003 SP1は、この脆弱性の影響を受けない。

概要

　WebClientは、インターネット上のドキュメントにWin32アプリケーションがアクセスし、ファイルの作成／修正／削除を行えるようにWindows OSの機能を拡張するためのサービスである。Windows XPではデフォルトでサービスが開始されるように設定されている（Windows Server 2003のデフォルトは無効）。

　この脆弱性は、WebDAVメッセージを処理する過程でWebClientサービスがバウンダリ・エラーを起こすことに起因する。細工されたメッセージをWebClientサービスが受け取ると、バッファ・オーバフローが起き、任意のコードが実行される。攻撃には、前述のように有効なログオン資格情報が必要となるため、「Guest」アカウントが有効になっているコンピュータは危険である。修正プログラムの適用と同時に、Guestや使用していないログオン・アカウントが有効になっていないことを確認しておいた方がよい。

対象プラットフォーム

影響を受けるソフトウェア	対象プラットフォーム
Windows XP	Windows XP SP1／SP1a
Windows Server 2003	Windows Server 2003 SP未適用

‥‥‥ DA Lab：HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム	適用テスト結果
Windows XP Professional SP1	○
Windows XP Professional SP1a	○
Windows Server 2003, Standard Edition SP未適用	○
Windows Server 2003, Enterprise Edition SP未適用	○

■MBSA 1.21の結果
　MS05-028の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「WebClient サービスの脆弱性により、リモートでコードが実行される (896426)」が表示される。

‥‥‥ 修正プログラムのダウンロード先 ‥‥‥

プラットフォーム	ダウンロード・センター	Windows Update／SUS／WSUSの表示
Windows XP SP1／SP1a	→ MSへ	Windows XP 用セキュリティ更新プログラム (KB896426)
Windows Server 2003 SP未適用	→ MSへ	Windows Server 2003 用セキュリティ更新プログラム (KB896426)

‥‥‥ 適用されるファイル情報 ‥‥‥

　以下のファイルが修正プログラムによって更新される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
　
Windows XP SP1／SP1a：

ファイル名	日付	バージョン	サイズ
WindowsXP-KB896426-x86-JPN.exe	2005/04/26	1.0.0.0	596,208

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ	%SystemRoot%\system32\
webclnt.dll	2005/04/26	5.1.2600.1673	62,976	Web DAV Service DLL
	%SystemRoot%\system32\drivers
mrxdav.sys	2005/04/26	5.1.2600.1673	173,312	Windows NT WebDav Minirdr

　
Windows Server 2003 SP未適用：

ファイル名	日付	バージョン	サイズ
WindowsServer2003-KB896426-x86-jpn.exe	2005/04/30	1.0.0.0	620,272

ファイル名	日付	バージョン	サイズ	機能
展開フォルダ（rtmgdr）	%SystemRoot%\system32\
webclnt.dll	2005/04/30	5.2.3790.321	69,120	Web DAV Service DLL
	%SystemRoot%\system32\drivers
mrxdav.sys	2005/04/30	5.2.3790.321	181,248	Windows NT WebDav Minirdr
展開フォルダ（rtmqfe）	%SystemRoot%\system32\
webclnt.dll	2005/04/30	5.2.3790.321	69,120	Web DAV Service DLL
	%SystemRoot%\system32\drivers
mrxdav.sys	2005/04/30	5.2.3790.321	181,760	Windows NT WebDav Minirdr

‥‥‥ 確認方法 ‥‥‥

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows XP SP1／SP1a：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB896426\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB896426\Filelist以下のファイル一覧を確認する

‥‥‥ 参考情報 ‥‥‥

　何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性を回避可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■WebClientサービスを無効にする
　WebClientサービスを無効に設定すれば、WebDAVパケットを処理しなくなるため、この脆弱性を悪用した攻撃を防止できる。サービスを停止するには、以下の手順で操作する。

［スタート］－［コントロールパネル］－［サービス］を起動する。
［WebClient］のプロパティを開く。
［スタートアップの種類］を［無効］に設定する。
［停止］ボタンをクリックし、サービスを止める。

　また、次のようにコマンド・プロンプトから入力して、WebClientサービスを停止／無効にできる。

sc stop WebClient & sc config WebClient start= 
disabled

　ただしWindows Server 2003では、［Webフォルダとして開く］機能がWebClientサービスに依存している。WebClientサービスを停止すると［Webフォルダとして開く］機能が利用できなくなる。

予想適用時間

修正プログラム名	50台	100台	250台	500台
WindowsXP-KB896426-x86-JPN.exe （Windows XP SP1／SP1a）	18分	27分	52分	1時間34分
WindowsServer2003-KB896426-x86-jpn.exe （Windows Server 2003 SP未適用）	19分	27分	52分	1時間34分

1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。

UpdateEXPERT上の表示

・Windows XP SP1／SP1a：
［展開ビュー］－［OS］タブに「名前：WindowsXP-KB896426-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］－［OS］タブに「WindowsServer2003-KB896426-x86-jpn.exe」で登録

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。