| MS06-007/913446 |
| TCP/IPのIGMPリクエスト処理の脆弱性により、サービス拒否が起きる危険性 |
| (TCP/IP の脆弱性により、サービス拒否が起こる) |
緊急対応度:適用作業の早期開始
|
| 危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
|
IPマルチキャストで利用されるIGMP v3(IGMP Version 3)メッセージの処理に脆弱性が存在する。細工されたIGMP v3メッセージを受信すると、コンピュータが応答しなくなる危険性がある。この脆弱性は、匿名ユーザーによるインターネット経由のサービス拒否攻撃に悪用される懸念がある。ただしマイクロソフトによれば、この脆弱性が悪用された場合でも、コードの実行や特権の昇格が起きることはないとしている。
ただし、ファイアウォールなどでIGMPメッセージの受信をブロックしている場合には、脆弱性に対するインターネットからの攻撃は回避可能だ。ただしワームなどに悪用された場合、社内LANに侵入したワームから攻撃が行われる可能性もあるため、修正プログラムを適用するか、「参考情報」で示した方法でIGMP関連のパケットの処理をしないように設定した方がよい。
マイクロソフトによれば、MS06-007の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は現在のところ確認されていないという。ただし悪用された場合、インターネットからの匿名攻撃が可能であることから被害が広がる可能性がある。特にWebサーバなど、インターネットに公開しているコンピュータの場合、攻撃を受ける危険性が高いので、なるべく早期に修正プログラムを適用した方がよい。
|
概要
|
|
IGMP(Internet Group Management Protocol)は、TCP/IPの標準機能で、IPホストによるマルチキャストをサポートするために利用されるプロトコルである。IPホストがマルチキャスト・グループへの参加/脱退を通知したり、あるマルチキャスト・グループへ参加しているIPホストがいるかどうかをルータがチェックしたりするためなどに用いられる。
Windows XPとWindows Server 2003はIGMP v3に対応している。これは、指定したソースまたは指定したソース以外のすべてからマルチキャスト・トラフィックを受信することを選択可能にする。このIGMP
v3メッセージの処理に脆弱性が存在し、細工されたIGMP v3メッセージを受信すると、その処理によりコンピュータの応答が停止し、サービス拒否状態となる。ワームなどに悪用された場合、複数のコンピュータが一斉に利用不能になるなどの被害が生じる可能性もある。
|
対象プラットフォーム
|
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Windows XP |
Windows XP SP1/SP1a/SP2 |
| Windows Server 2003 |
Windows Server 2003 SP未適用/SP1 |
|
| |
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
|
プラットフォーム
|
適用テスト結果
|
| Windows XP Professional SP1 |
○
|
| Windows XP Professional SP1a |
○
|
| Windows XP Professional SP2 |
○
|
| Windows Server 2003, Standard Edition SP未適用 |
○
|
| Windows Server 2003, Enterprise Edition SP未適用 |
○
|
| Windows Server 2003, Standard Edition SP1 |
○
|
| Windows Server 2003, Enterprise Edition SP1 |
○
|
■自動更新/Microsoft Update/WSUSなどで適用できないトラブルは解消済み
リリース日の2月15日、MS06-007の修正プログラムを自動更新やMicrosoft Update、WSUSなどのマイクロソフト製パッチ管理ツールで適用しようとすると0x80242006というエラーコードで失敗する、という現象が発生していた。
すでにこのトラブルは解消されており、現在は正常に適用可能になっている。自動更新を利用している場合、2月15日に一連のセキュリティ修正プログラムを適用したとしても、MS06-007のみ未適用の場合があるので確認した方がよい。Microsoft
Updateの場合は、再びMicrosoft Updateサイトに接続し、MS06-007の修正プログラムを適用すればよい。WSUSでは、新しいMS06-007の修正プログラムの情報をダウンロードするために同期を実行する必要がある。自動的に同期している場合は、同期のログを確認した方がよい。
■Windows Server 2003 SP1向けの「サポート技術情報:898060」の修正プログラムを含む
MS06-007の「この更新プログラムにより何が置き換えられますか?」によれば、MS06-007の修正プログラムはWindows Server 2003
SP1向けMS05-019(TCP/IPの脆弱性)の修正プログラムを置き換える、とのことだ。しかしWindows Server 2003 SP1にはもともとMS05-019の旧版修正プログラムが含まれている。これは実際には、MS05-019の更新版修正プログラムに相当する「サポート技術情報:898060」で提供された修正プログラムを指していると思われる。
・サポート技術情報 898060(セキュリティ更新プログラム MS05-019 または Windows Server 2003 Service Pack
1 のインストール後、クライアントとサーバー間のネットワーク接続が機能しないことがある):
http://support.microsoft.com/default.aspx?scid=kb;ja;898060
この修正プログラムが更新するtcpip.sys(バージョン5.2.3790.2453)は、MS06-007が更新するtcpip.sys(バージョン5.2.3790.2617)もより古い。従ってWindows
Server 2003 SP1では、「サポート技術情報:898060」の修正プログラムの適用/未適用に関係なく、MS06-007の修正プログラムを適用すればよい。
■MBSA 2.0の結果
修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に「{Windows
XP/Windows Server 2003} 用セキュリティ更新プログラム (KB913446)」が表示される。参考までにMBSA 1.21では「TCP/IP
の脆弱性により、サービス拒否が起こる (913446)」が表示される。
|
| |
|
|
| プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
| Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム (KB913446) |
| Windows Server 2003 SP未適用/SP1 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB913446) |
|
| |
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows XP SP1/SP1a/SP2:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsXP-KB913446-x86-JPN.exe |
2006/01/14 |
1.0.0.0 |
805,616
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(SP1QFE) |
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/13 |
5.1.2600.1792 |
340,480
|
TCP/IP Protocol Driver |
展開フォルダ
(SP2GDR)
|
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/13 |
5.1.2600.2827 |
359,808
|
TCP/IP Protocol Driver |
展開フォルダ
(SP2QFE)
|
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/14 |
5.1.2600.2827 |
360,448
|
TCP/IP Protocol Driver |
Windows Server 2003 SP未適用/SP1:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsServer2003-KB913446-x86-JPN.exe |
2006/01/13 |
1.0.0.0 |
848,624
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR) |
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/13 |
5.2.3790.468 |
317,440
|
TCP/IP Protocol Driver |
展開フォルダ
(RTMQFE) |
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/13 |
5.2.3790.468 |
318,464
|
TCP/IP Protocol Driver |
展開フォルダ
(SP1GDR/SP1QFE) |
%SystemRoot%\system32\drivers\ |
| tcpip.sys |
2006/01/13 |
5.2.3790.2617 |
333,312
|
TCP/IP Protocol Driver |
|
| |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値あるいはファイルのバージョンを調べることで確認できる。
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB913446\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB913446\Filelist以下のファイル一覧を確認する
|
| |
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■IGMPを無効にする
MS06-007の脆弱性の原因となる「IGMP」を無効化することで、コンピュータの応答を停止させる可能性のあるIGMP関連のパケットを処理させないようにできる。
- レジストリ・エディタを起動する。
- レジストリ・エディタで、次のレジストリ・キーに値「IGMPLevel」(DWORD値)、データ「0」を追加する。この値/データは、IGMPの処理を無効にするもので、デフォルトでこのキーは存在しない。
レジストリ・キー: |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters\ |
値: |
IGMPLevel(DWORD型) |
| データ |
0 |
- コンピュータを再起動する。
|
予想適用時間
|
| 修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsXP-KB913446-x86-JPN.exe
(Windows XP SP1/SP1a/SP2)
|
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB913446-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
|
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB913446-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用/SP1:
[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB913446-x86-JPN.exe」で登録
|
| |
