深刻度
|
|
1(緊急) |
|
2(重要) |
→ |
3(警告) |
|
4(注意) |
|
攻撃コードの有無
|
あり
|
対策
|
早期適用
|
再起動の必要性
|
必要(不要な場合あり)
|
アンインストール
|
可能
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
含まれる過去の修正
|
|
脆弱性識別番号
|
|
|
MS06-017/917627 |
FrontPage Server Extensionsのクロスサイト・スクリプティングの脆弱性により、任意のスクリプトが実行される危険性 |
(Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
FrontPage Server Extensions 2002(FPSE 2002)とSharePoint Team Services 2002にクロスサイト・スクリプティング(→
キーワード)の脆弱性が存在する。細工されたスクリプトがFPSE 2002/SharePoint Team Services
2002に挿入されることで、脆弱性が悪用され、任意のスクリプトが実行される。このスクリプトによって、ユーザーの代わりに任意の操作を実行し、Webセッションの監視、ユーザーのコンピュータ上でのコードの実行、Cookieの読み取りや書き込みなどの操作が実行される危険性がある。ただし、この脆弱性が悪用される条件として、ユーザーの操作が必要条件となっている。
マイクロソフトによれば、MS06-017の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかし修正プログラムが公開されたことから、脆弱性を発見したEsteban
Martinez Fayo氏が詳細な技術情報と実証コードを公開した。この脆弱性が悪用された場合、FPSE 2002が実行されているWebサイトの制御が完全に奪われる危険性もあるので、なるべく早期に修正プログラムを適用した方がよい。特にインターネットに公開しているWebサーバでFPSE
2002を利用している場合は危険性が高い。ただし修正プログラムの適用によって、FPSE 2002の挙動が変わる可能性もあるので、事前に十分な検証を実施することを勧める。
・Argeniss(Vulnerability in Microsoft FrontPage Server Extensions Could Allow
Cross-Site Scripting (MS06-17)):
http://www.argeniss.com/research/ARGENISS-ADV-040602.txt
|
■クロスサイト・スクリプティング
Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。「XSS」と呼ばれることもある。
ユーザーの入力などに応じて動的に生成されるWebページにおいて、受け付けた入力データを正しく処理しないことにより、特殊なスクリプト・コードが入力されて、本来は許可されていないような操作が可能になる場合がある。このようなセキュリティ・ホールを指して「クロスサイト・スクリプティングの脆弱性」などと呼ぶ。
・セキュリティ用語:クロスサイト・スクリプティング(cross-site scripting)
http://www.hotfix.jp/archives/word/2003/word03-04.html
|
概要
|
FPSEは、Internet Information Services(IIS)の拡張機能として、CGIなどのサービスを提供するために利用されるツールのセットである。またSharePoint
Team Servicesは、Webサーバ(IIS)にインストールすることで情報の共有が行えるWebサイトを構築可能にするものだ。FPSE 2002は、Windows
Server 2003の機能としてデフォルトで付属しているが、有効化されていない。またWindows 2000 ServerとWindows XPでは、デフォルトではFPSE
2002はインストールされておらず、別途マイクロソフトのWebサイトからダウンロードしてインストールする必要がある。SharePoint Team Servicesは、すべての環境においてデフォルトではインストールされていない。
FPSE 2002とSharePoint Team Servicesにクロスサイト・スクリプティングの脆弱性が存在し、ユーザーのセキュリティ・コンテキストで任意のスクリプトが実行される危険性がある。脆弱性は、FPSE
2002とSharePoint Team Servicesに含まれるfpadmdll.dllに存在し、管理目的に利用する「operation」「command」「name」の各コマンドが入力値を十分に検証しないことに起因する。これらのコマンドに対して、HTMLのコメントである「-->」を付けたスクリプトを与えると、そのままユーザーに戻してしまう。その結果、「-->」以降のスクリプトがユーザーのブラウザで実行される。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
FrontPage Server Extensions 2002 |
Windows Server 2003 SP未適用/SP1 |
FrontPage Server Extensions 2002 |
Windows 2000 Server SP4、Windows XP SP1/SP1a/SP2 |
SharePoint Team Services |
Office XP SP3 for SharePoint Team Services |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Server SP4+FrontPage Server Extensions 2002 |
○
|
Windows 2000 Advanced Server SP4+FrontPage Server Extensions
2002 |
○
|
Windows XP Professional SP1+FrontPage Server Extensions 2002 |
○
|
Windows XP Professional SP2+FrontPage Server Extensions
2002 |
○
|
Windows XP Professional SP2+SharePoint Team Services SP3 |
○
|
Windows XP Professional SP2+Office XP with FrontPage SP3
|
○
|
Windows Server 2003, Standard Edition SP未適用+FrontPage Server Extensions 2002 |
○
|
Windows Server 2003, Enterprise Edition SP1+FrontPage Server
Extensions 2002 |
○
|
Windows Server 2003 R2, Standard Edition+FrontPage Server Extensions 2002 |
○
|
■Windows 2000/XP+FPSE 2002向け修正プログラムはMicrosoft Updateなどで適用できない
Windows Server 2003+FPSE 2002向け修正プログラムは、一般的なWindows Server 2003向け修正プログラムと同様、Microsoft
UpdateやWSUSなどで適用可能だ。またSharePoint Team Services向けの修正プログラムは、Microsoft UpdateやWSUSのほか、Office
Updateでも適用できる。これはSharePoint Team Servicesが、Office XP Professional with FrontPageなどのOffice
XP製品に添付されるソフトウェアだからだ。
しかし、Windows 2000/Windows XP+FrontPage Server Extensions 2002向け修正プログラムは、ダウンロード・センターから入手して、手動で適用する必要がある。一般的な修正プログラムと異なり、Microsoft
UpdateやWSUSなどでは適用できないので注意する必要がある。
■SharePoint Team Services向けの適用にはOffice XP SP3の適用が必要
MS06-017のSharePoint Team Services向けの修正プログラムを適用するには、事前にSharePoint Team Services向けOffice
XP SP3を適用しておく必要がある。SharePoint Team Services向けOffice XP SP3のインストール・パッケージは以下のページからダウンロードできる。
・ダウンロード センター(Office XP Service Pack 3 (SP-3) for SharePoint Team Services):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=2818e9df-79ff-49a4-89c1-cad72fea9b32&DisplayLang=ja
■SharePoint Team Services以外のOffice XPファミリも修正プログラムの適用が推奨される
SharePoint Team Services以外のOffice XPファミリは、この脆弱性の影響を受けない。しかしWord 2002/Excel 2002/Outlook
2002/PowerPoint 2002/Access 2002/FrontPage 2002/Publisher 2002は、SharePoint Team
Services向けの修正プログラムで更新されるファイルを使用している。そのため、これらのOffice XPファミリのいずれかがインストールされている環境で、Office
UpdateやMBSA 2.0を実行すると、MS06-017のSharePoint Team Services向け修正プログラムの適用が推奨される。しかし、これらのOffice
XPファミリはMS06-017の脆弱性の影響を受けないので、修正プログラムを適用する必要はないとのことだ。
■修正プログラム適用による仕様変更
MS06-017の修正プログラムを適用すると、インデックス・サービスがデフォルトの検索方法として使用されるようになる。設定が変更される可能性があるので、適用後、検索方法などを確認した方がよい。
■複数の不具合が修正される
MS06-017のFPSE 2002向けの修正プログラムを適用すると、以下のサポート技術情報で説明されている不具合も解消される。
・サポート技術情報 895193(Windows Server 2003 用の FrontPage 2002 Server Extensions 修正プログラム
パッケージ (2005 年 4 月 13 日) について):
http://support.microsoft.com/default.aspx?scid=kb;ja;895193
・サポート技術情報 825809 (Windows Server 2003 で FrontPage Server Extensions が応答を停止する
):
http://support.microsoft.com/default.aspx?scid=kb;ja;825809
またサポート技術情報が用意されていない複数の不具合も解消される。FPSE 2002に不具合が発生している場合は、MS06-017の修正プログラムを適用することで解消する可能性がある。
■MBSA 2.0の結果
SharePoint Team Services 2002向けの修正プログラムが未適用の場合は、「Office のセキュリティ更新」の「結果の詳細情報」に、「SharePoint
Team Services セキュリティ更新プログラム: KB911701」が表示される。またWindows Server 2003+FPSE 2002向けの修正プログラムが未適用の場合は、「Windows
のセキュリティ更新プログラム」の「結果の詳細情報」に、「Windows Server 2003 用セキュリティ更新プログラム (KB908981)」が表示される。
一方、MBSA 2.0はWindows 2000/XP+FPSE 2002をサポートされておらず、MS06-017の修正プログラムは検出できない。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/WSUSの表示 |
FrontPage Server Extensions 2002
(Windows Server 2003 SP未適用/SP1) |
|
Windows Server 2003 用セキュリティ更新プログラム (KB908981) |
FrontPage Server Extensions 2002
(Windows 2000 Server SP4、Windows XP SP1/SP1a/SP2) |
|
− |
SharePoint Team Services 2002
|
|
SharePoint Team Services セキュリティ更新プログラム: KB911701 |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
FrontPage Server Extensions 2002(Windows Server 2003 SP未適用/SP1) :
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB908981-x86-JPN.exe |
2006/03/24 |
1.0.0.0 |
1,664,752
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR/
RTMQFE/
SP1GDR/
SP1QFE)
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\bin\ |
cfgwiz.exe |
2005/12/30 |
10.0.6754.0 |
98,304
|
Microsoft SharePoint and FrontPage Server Administrator Snapin |
fp5autl.dll |
2006/02/15 |
10.0.6790.0 |
944,840
|
Microsoft FrontPage Utility DLL |
fp5avss.dll |
2006/03/24 |
10.0.6754.0 |
32,768
|
Microsoft FrontPage VSS Interface |
fp5awel.dll |
2006/02/15 |
10.0.6790.0 |
1,383,112
|
Microsoft FrontPage Web Extender Library |
fpexedll.dll |
2006/03/24 |
10.0.6754.0 |
20,480
|
Microsoft FrontPage Server Extensions |
fpmmc.dll |
2006/02/15 |
10.0.6790.0 |
400,064
|
Microsoft SharePoint and FrontPage Server Administrator Snapin |
owsadm.exe |
2005/12/30 |
10.0.6754.0 |
20,480
|
Microsoft SharePoint Administrator |
owsrmadm.exe |
2005/12/30 |
10.0.6754.0 |
45,056
|
Microsoft Office Web Server Administrator Client |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\servsupp\ |
fp5amsft.dll |
2006/02/15 |
10.0.6790.0 |
142,024
|
Microsoft FrontPage Server Extensions for Microsoft IIS |
|
%ProgramFiles%\Common Files\microsoft shared\
web server extensions\50\isapi\ |
fpcount.exe |
2005/12/30 |
10.0.6754.0 |
90,112
|
Microsoft FrontPage Hit Counter |
shtml.dll |
2006/03/24 |
10.0.6754.0 |
20,480
|
Microsoft FrontPage Server Extensions |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\Isapi\_vti_adm\ |
admin.dll |
2006/03/24 |
10.0.6754.0 |
20,480
|
Microsoft FrontPage Server Extensions |
author.dll |
2006/03/24 |
10.0.6754.0 |
20,480
|
Microsoft FrontPage Server Extensions |
fpadmdll.dll |
2006/02/15 |
10.0.6790.0 |
27,336
|
Microsoft FrontPage Server Extensions |
FrontPage Server Extensions 2002(Windows 2000 Server SP4、Windows XP SP1/SP1a/SP2):
ファイル名 |
日付 |
バージョン |
サイズ |
officexp-kb911831-client-JPN.exe |
2006/03/29 |
5.0.2919.6307 |
1,236,000
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\bin\ |
fp5areg.dll |
2002/06/12 |
10.0.4205.0 |
36,424
|
Microsoft FrontPage Internet Server Extension Module |
FP5AUTL.DLL |
2006/02/10 |
10.0.6790.0 |
944,840
|
Microsoft FrontPage Utility DLL |
fp5Awel.dll |
2006/02/10 |
10.0.6790.0 |
1,383,112
|
Microsoft FrontPage Web Extender Library |
FPMMC.DLL |
2006/02/10 |
10.0.6790.0 |
400,064
|
Microsoft SharePoint and FrontPage Server Administrator
Snapin |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\servsupp\ |
Fp5amsft.dll |
2006/02/10 |
10.0.6790.0 |
142,024
|
Microsoft FrontPage Server Extensions for Microsoft IIS |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\Isapi\_vti_aut |
fp30reg.dll |
2002/06/12 |
10.0.4205.0 |
36,424
|
Microsoft FrontPage Internet Server Extension Module |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\Isapi\_vti_adm\ |
FPADMDLL.DLL |
2006/02/10 |
10.0.6790.0 |
27,336
|
Microsoft FrontPage Server Extensions |
SharePoint Team Services:
ファイル名 |
日付 |
バージョン |
サイズ |
officexp-KB911701-FullFile-JPN.exe |
2005/03/29 |
10.0.6790.0 |
4,165,384
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\bin\ |
FP5AUTL.DLL |
2006/02/10 |
10.0.6790.0 |
944,840
|
Microsoft FrontPage Utility DLL |
FP5AWEC.DLL |
2004/04/07 |
10.0.6711.0 |
608,968
|
Microsoft FrontPage Client Library |
FP5AWEL.DLL |
2006/02/10 |
10.0.6790.0 |
1,383,112
|
Microsoft FrontPage Web Extender Library |
FPMMC.DLL |
2006/02/10 |
10.0.6790.0 |
400,064
|
Microsoft SharePoint and FrontPage Server Administrator
Snapin |
OWSTIMER.EXE |
2004/04/07 |
10.0.6711.0 |
346,824
|
SharePoint Timer Services |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\servsupp\ |
FP5AMSFT.DLL |
2006/02/10 |
10.0.6790.0 |
142,024
|
Microsoft FrontPage Server Extensions for Microsoft IIS |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\Isapi\ |
OWSSVR.DLL |
2004/10/29 |
10.0.6738.0 |
834,240
|
Windows SharePoint Services |
|
%ProgramFiles%\Common Files\Microsoft Shared\
web server extensions\50\Isapi\_vti_adm\ |
FPADMDLL.DLL |
2006/02/10 |
10.0.6790.0 |
27,336
|
|
|
%ProgramFiles%\Microsoft Office\Office10\ |
FPCUTL.DLL |
2004/10/29 |
10.0.6738.0 |
1,170,112
|
Microsoft FrontPage Client Utility Library |
FPEDITAX.DLL |
2005/01/26 |
10.0.6714.0 |
4,258,504
|
Microsoft FrontPage Editor |
*背景色が薄紫色のファイルは、SharePoint Team Servicesだけがインストールされている場合、存在しないので更新されない。そのほかのOffice
XPアプリケーションがインストール済みだと更新される |
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・FrontPage Server Extensions 2002(Windows Server 2003 SP未適用/SP1)
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB908981\Filelist以下のファイル一覧を確認する
・FrontPage Server Extensions 2002(Windows 2000 Server SP4、Windows
XP SP1/SP1a/SP2):
置き換わるファイルのバージョンで確認する
・SharePoint Team Services:
置き換わるファイルのバージョンで確認する
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsServer2003-KB908981-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1+FPSE 2002) |
13分 |
21分 |
47分 |
1時間29分 |
WindowsServer2003-KB908981-x86-JPN.exe
(Windows 2000 Server SP4、Windows XP SP1/SP1a/SP2+FPSE 2002) |
13分 |
21分 |
47分 |
1時間29分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・FrontPage Server Extensions 2002(Windows Server 2003 SP未適用/SP1)
:
[展開ビュー]−[IIS]タブに「名前::WindowsServer2003-KB908981-x86-JPN.exe」で登録
・FrontPage Server Extensions 2002(Windows 2000 Server SP4、Windows
XP SP1/SP1a/SP2):
[展開ビュー]−[IIS]タブに「名前:officexp-kb911831-client-JPN.exe」で登録
・SharePoint Team Services:
サポート対象外
|
|
|