深刻度
|
|
1(緊急) |
→ |
2(重要) |
|
3(警告) |
|
4(注意) |
|
対策
|
早期適用
|
再起動の必要性
|
なし
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
よく寄せられる質問
|
|
アンインストール
|
可
|
含まれる過去の修正
|
なし
|
脆弱性識別番号
|
|
更新履歴
|
2003/07/17 セキュリティ情報ページを公開 |
|
MS03-028/816456 |
ISA Server 2000が用意するエラー・ページにクロスサイト・スクリプティングの脆弱性 |
(ISA Server のエラー ページの問題により、クロスサイト スクリプティング攻撃が実行される) |
|
|
対応策 |
修正プログラムの適用作業を早期に開始してください。 |
|
概要 |
ISA Server 2000(マイクロソフトが提供するファイアウォール、Web Proxyサーバ・ソフトウェア)では、Webサイトにアクセスするクライアントに対して、「リクエストに該当するページがサイト内に存在しない」などのエラーを表示するためのエラー・ページを用意しています。エラー・ページは、HTMLベースで複数用意されており、状況や管理者の設定によりその種類を選択可能となっています。特定のエラー・ステータスで、ISA
Serverが返すエラー・ページにクロスサイト・スクリプティング(→ キーワード)の脆弱性があります。このため、攻撃者の仕掛けたスクリプトによりユーザーのコンピュータ内にあるCookieなどの情報が窃取されたり(Cookieの内容が漏えいすると、それを使ってWebサーバに登録されているユーザー情報などを取り出せる可能性があります)、ほかのサイトへ誘導したり、ローカルのデータを別のサーバへ送信したりといった、さまざまな操作が可能になります。
修正プログラムは、ISA Server 2000が標準で用意しているエラー・ページ(HTMLファイル)を置き換えます。新しいエラー・ページでは、Homepage()機能(スクリプト)を取り除いています。
|
キーワード |
■クロスサイト・スクリプティング
ユーザーの入力などを受け付けて動的に生成されるWebページにおいて、受け付けた入力データのチェックを正しく行わないことにより、特殊なスクリプト・コードが入力されて、本来は許可されていないような操作が可能になる場合があります。このようなセキュリティ・ホールを指して「クロスサイト・スクリプティングの脆弱性」などと呼びます。
・セキュリティ用語:クロスサイト・スクリプティング
http://www.hotfix.jp/archives/word/2003/word03-04.html
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
ISA Server 2000 |
ISA Server 2000 SP1/Feature Pack 1 |
(注意)ISA Server 2000は、UpdateEXPERTのサポート対象外です。
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
ファイル名 |
日付 |
バージョン |
サイズ |
ISA2000-KB816456-x86.exe |
2003/07/17 |
5.3.16.3 |
113,168
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
\Program
Files\Microsoft ISA Server\ErrorHtmls\ |
10053.htm |
2003/06/30 |
−
|
1,984
|
HTMLファイル |
10053r.htm |
2003/06/30 |
−
|
1,908
|
HTMLファイル |
10054.htm |
2003/06/30 |
−
|
2,004
|
HTMLファイル |
10054r.htm |
2003/06/30 |
−
|
1,953
|
HTMLファイル |
10060.htm |
2003/06/30 |
−
|
2,071
|
HTMLファイル |
10060r.htm |
2003/06/30 |
−
|
1,931
|
HTMLファイル |
10061.htm |
2003/06/30 |
−
|
2,068
|
HTMLファイル |
10061r.htm |
2003/06/30 |
−
|
2,001
|
HTMLファイル |
11001.htm |
2003/06/30 |
−
|
1,898
|
HTMLファイル |
11001r.htm |
2003/06/30 |
−
|
1,925
|
HTMLファイル |
11002.htm |
2003/06/30 |
−
|
1,907
|
HTMLファイル |
11002r.htm |
2003/06/30 |
−
|
1,944
|
HTMLファイル |
11004.htm |
2003/06/30 |
−
|
1,898
|
HTMLファイル |
11004r.htm |
2003/06/30 |
−
|
1,925
|
HTMLファイル |
12206.htm |
2003/06/30 |
−
|
1,845
|
HTMLファイル |
12206r.htm |
2003/06/30 |
−
|
2,015
|
HTMLファイル |
1460.htm |
2003/06/30 |
−
|
2,123
|
HTMLファイル |
1460r.htm |
2003/06/30 |
−
|
1,917
|
HTMLファイル |
2r.htm |
2003/06/30 |
−
|
1,953
|
HTMLファイル |
401r.htm |
2003/06/30 |
−
|
1,539
|
HTMLファイル |
407.htm |
2003/06/30 |
−
|
1,923
|
HTMLファイル |
502.htm |
2003/06/30 |
−
|
2,038
|
HTMLファイル |
502r.htm |
2003/06/30 |
−
|
1,918
|
HTMLファイル |
504.htm |
2003/06/30 |
−
|
2,063
|
HTMLファイル |
504r.htm |
2003/06/30 |
−
|
1,943
|
HTMLファイル |
64.htm |
2003/06/30 |
−
|
1,984
|
HTMLファイル |
64r.htm |
2003/06/30 |
−
|
1,892
|
HTMLファイル |
default.htm |
2003/06/30 |
−
|
2,216
|
HTMLファイル |
defaultr.htm |
2003/06/30 |
−
|
1,649
|
HTMLファイル |
(注意)修正プログラムには、日本語のエラー・ページ(.htm.jpn)のほか、英語(.htm)、フランス語(.htm.fra)、ドイツ語(.htm.deu)、スペイン語(.htm.esn)が含まれています。表は、日本語のエラー・ページのみを、拡張子を「.htm」としています。 |
|
確認方法 |
修正プログラムが正しく適用されたことを確認するには、各サーバ上で以下のレジストリ・キーを調べてください。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\277
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のURLでダウンロードできます。
http://download.microsoft.com/download/1/5/b/15b400a5-5b40-4721-92b0-caef3f190146/ISA2000-KB816456-x86.exe
|
|
|