深刻度
|
|
1(緊急) |
→ |
2(重要) |
|
3(警告) |
|
4(注意) |
|
対策
|
早期適用
|
再起動の必要性
|
あり
|
アンインストール
|
不可
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
よく寄せられる質問
|
|
含まれる過去の修正
|
|
脆弱性識別番号
|
|
更新履歴
|
2003/08/21 セキュリティ情報ページを公開 |
|
MS03-033/823718 |
MDACの脆弱性により、任意のプログラムの実行される可能性 |
(MDAC 機能の未チェックのバッファにより、システムが侵害される) |
|
|
対応策 |
早期に修正プログラムの適用作業を開始してください。 |
|
概要 |
Microsoft Data Access Components(MDAC)は、Windowsプラットフォームにおいてデータベース接続を提供する各種コンポーネントの集合です。MDACは、ほぼすべてのWindows
OSに標準で実装されているほか、SQL Serverやそのほかのアプリケーションにも含まれています。また、MDACの機能の一部は、Internet Explorerにも組み込まれています。そのMDACコンポーネントの中に未チェック・バッファの脆弱性が存在します。攻撃者は、この脆弱性を悪用して、コンピュータの完全な制御を取得できます。それにより、MDACを使用するアプリケーションを実行している権限によっては、データの作成/変更/削除、コンピュータの構成の変更、ハード
ディスクのフォーマット、任意のプログラムの実行などが行われる可能性があります。
攻撃者は、ネットワーク上で待ち受けているSQL Serverを装います。ネットワーク上のクライアント・コンピュータは、ネットワーク上のSQL Serverのリストを参照する場合に、サブネット上の全デバイスに対してブロードキャスト・リクエストを送信します。このリクエストに対して、攻撃者はSQL
Serverを偽装して、応答データとして不正なUDPパケットを送信します。これにより、クライアント・コンピュータのMDACはバッファ・オーバーフローを起こします。
このバッファ・オーバーフローは、企業のネットワークに侵入したワームが感染を広めたり、ほかのコンピュータを攻撃したりする場合に利用可能な脆弱性です。また、このMS03-033は、2002年8月1日に公開されたMS02-040で提供された修正プログラムを含んでいますが、MS02-040では解消されなかったいくつかの脆弱性の修正も含んでいます。これらの脆弱性はワームへの応用が懸念されますので、なるべく早く修正プログラムを適用してください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
MDACは、単体で配布されているほか、各種アプリケーションなどにも添付されることがあります。そのため、コンピュータにインストールされているMDACのバージョンを調べ、修正プログラムの対象であるかどうかを知る必要があります。そのためには、マイクロソフトが提供している「Component
Checker」を利用します。以下の手順でインストールならびにバージョン・チェックが可能です。
- 以下のダウンロード・ページより、cc.exeをダウンロードし、実行します。
・Component Checkerのダウンロード・ページ:
http://www.microsoft.com/japan/msdn/data/download.asp#cck
- 自動解凍形式のファイルなので、インストール先のフォルダを指定します(デフォルトは、c:\comcheck)。解凍先のフォルダにあるComCheck.exeがComponent
Checkerの実行ファイルです。
- ComCheck.exeを実行し、解析タイプ(Analysis Type)を選択します。 通常は、「Perform analysis of your
machine and automatically determine the release version.」を選び、[OK]ボタンをクリックします。
- 解析が開始されます。結果が表示されるまで数分かかります。結果は、ダイアログ・ボックスで、「The MDAC version that is closest
to the version on your computer is '2.5 SP3 (2.53.6200.2)'」といった具合に表示されます。
マイクロソフトのTechNetセキュリティ情報ならびにサポート技術情報には、今回の修正プログラムがサポート対象する以外のMDAC 2.5/2.6/2.7のバージョン(MDAC
2.6 SP1など)に対し、脆弱性があるのかないのかについての明確な記述がありません。念のため、もしMDACのバージョンが、「MDAC 2.6 SP1」など修正プログラムの対象外であった場合、まずMDACを対象となるバージョンに更新してから修正プログラムの適用を行うことをご検討ください。MDACは、以下のページから単体でダウンロード可能です。ただしアプリケーションによっては、MDACのバージョンに依存する場合があります。バージョン・アップの前に十分な検証を行ってください。
・MDACのダウンロード・ページ:
http://www.microsoft.com/japan/msdn/data/download.asp#uda
|
|
追加情報(2003/08/25) |
MDAC 2.8未満のすべてのバージョンに脆弱性あり |
マイクロソフトのサポート技術情報(英語版)によると、MDAC 2.8未満のバージョンには、バッファ・オーバーフローの脆弱性があります(8月22日付けで情報が更新されました)。MDACのバージョンが、「MDAC
2.6 SP1」など修正プログラムの対象外であった場合、まずMDACを修正プログラムの対象となるバージョンに更新してから修正プログラムの適用を行うことをご検討ください。なおテストしたところ、Windows
2000 SP1においてMDAC 2.5 SP1からMDAC SP2/SP3への単体でのバージョン・アップは行えませんでした。この場合、MDAC 2.6もしくは2.7へバージョン・アップを行うか、Windows
2000 SP2もしくはSP3、SP4の適用をご検討ください(Windows 2000のサービスパックにはMDACが含まれています)。
・マイクロソフトのサポート技術情報 823718(英語版):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;823718
|
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります(主な組み合わせのみ掲載)。
影響を受けるソフトウェア |
対象プラットフォーム |
Microsoft Data Access Components
2.5 SP2 |
Windows 2000 SP2+MDAC 2.5 SP2 |
Microsoft Data Access Components 2.5 SP3 |
Windows 2000 SP3/SP4+MDAC 2.5 SP3 |
Microsoft Data Access Components
2.6 SP2 |
SQL Server 2000 SP2+MDAC 2.6 SP2 |
Microsoft Data Access Components 2.7 |
Windows XP+MDAC 2.7 |
Microsoft Data Access Components 2.7 RTM Refresh |
Windows XP+MDAC 2.7 RTM Refresh |
Microsoft Data Access Components 2.7 SP1 |
Windows XP SP1/SP1a+MDAC 2.7 SP1 |
Microsoft Data Access Components
2.7 SP1 Refresh |
Windows XP SP1/SP1a+MDAC 2.7 SP1 Refresh |
(注意)MDACは、UpdateEXPERTのサポート対象外です。現在、サポートについて検討しています。 |
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
ファイル名 |
日付 |
バージョン |
サイズ |
Q823718_MDAC_SecurityPatch.exe |
2003/08/16 |
6.0.2800.1106 |
1,632,320
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル (MDAC
2.5 SP2) |
%SystemRoot%\system32 |
Odbc32.dll |
2003/07/23 |
3.520.6100.40 |
212,992
|
Microsoft Data Access - ODBC Driver Manager |
Odbcbcp.dll |
2003/07/21 |
3.70.11.40 |
24,848
|
Microsoft BCP for ODBC |
Odbccp32.dll |
2003/07/22 |
3.520.6100.40 |
102,672
|
Microsoft Data Access - ODBC Installer |
Sqlsrv32.dll |
2003/07/21 |
3.70.11.40 |
524,560
|
Microsoft SQL Server ODBC Driver |
展開ファイル(MDAC
2.5 SP3) |
%SystemRoot%\system32 |
Odbc32.dll |
2003/07/23 |
3.520.6300.40 |
212,992
|
Microsoft Data Access - ODBC Driver Manager |
Odbcbcp.dll |
2003/07/21 |
3.70.11.40 |
24,848
|
Microsoft BCP for ODBC |
Odbccp32.dll |
2003/07/23 |
3.520.6300.40 |
102,672
|
Microsoft Data Access - ODBC Installer |
Sqlsrv32.dll |
2003/07/21 |
3.70.11.40 |
524,560
|
Microsoft SQL Server ODBC Driver |
展開ファイル(MDAC
2.6 SP2) |
%SystemRoot%\system32 |
Dbnetlib.dll |
2003/07/21 |
2000.80.746.0 |
86,588
|
Winsock Oriented Net DLL for SQL Clients |
Odbc32.dll |
2003/07/22 |
3.520.7501.40 |
217,360
|
Microsoft Data Access - ODBC Driver Manager |
Odbcbcp.dll |
2003/07/22 |
2000.80.746.0 |
29,252
|
Microsoft BCP for ODBC |
Odbccp32.dll |
2003/07/23 |
3.520.7501.40 |
102,672
|
Microsoft Data Access - ODBC Installer |
Sqlsrv32.dll |
2003/07/21 |
2000.80.746.0 |
455,236
|
Microsoft SQL Server ODBC Driver |
|
%ProgramFiles%\Common
Files\System\Ole DB |
Sqloledb.dll |
2003/07/31 |
2000.80.746.0 |
479,800
|
Microsoft OLE DB Provider for SQL Server |
展開ファイル(MDAC
2.7) |
%SystemRoot%\system32 |
Dbnetlib.dll |
2003/07/31 |
2000.81.9001.40 |
61,440
|
Winsock Oriented Net DLL for SQL Clients |
Odbc32.dll |
2003/07/22 |
3.520.9001.40 |
204,800
|
Microsoft Data Access - ODBC Driver Manager |
Odbcbcp.dll |
2003/07/22 |
2000.81.9001.40 |
24,576
|
Microsoft BCP for ODBC |
Odbccp32.dll |
2003/07/22 |
3.520.9001.40 |
94,208
|
Microsoft Data Access - ODBC Installer |
Sqlsrv32.dll |
2003/07/22 |
2000.81.9001.40 |
356,352
|
Microsoft SQL Server ODBC Driver |
|
%ProgramFiles%\Common
Files\System\Ole DB |
Sqloledb.dll |
2003/07/31 |
2000.81.9001.40 |
450,560
|
Microsoft OLE DB Provider for SQL Server |
展開ファイル(MDAC
2.7 SP1) |
%SystemRoot%\system32 |
Dbnetlib.dll |
2003/07/22 |
2000.81.9041.40 |
61,440
|
Winsock Oriented Net DLL for SQL Clients |
Odbc32.dll |
2003/07/22 |
3.520.9041.40 |
204,800
|
Microsoft Data Access - ODBC Driver Manager |
Odbcbcp.dll |
2003/07/22 |
2000.81.9041.40 |
24,576
|
Microsoft BCP for ODBC |
Odbccp32.dll |
2003/07/22 |
3.520.9041.40 |
98,304
|
Microsoft Data Access - ODBC Installer |
Sqlsrv32.dll |
2003/07/22 |
2000.81.9041.40 |
385,024
|
Microsoft SQL Server ODBC Driver |
|
%ProgramFiles%\Common
Files\System\Ole DB |
Sqloledb.dll |
2003/07/31 |
2000.81.9041.40 |
471,040
|
Microsoft OLE DB Provider for SQL Server |
[お詫び]HotFix Report配信時にSqloledb.dllのインストール先を
%SystemRoot%system32 としていましたが、%ProgramFiles%\Common FIles\System\Ole
DB の誤りでした。 |
|
確認方法 |
修正プログラムが正しく適用されたことを確認するには、「適用されるファイル情報」にある各ファイルの日付とバージョンを比較してください。
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード・ページで「Download」をクリックしてください。すべての対象プラットフォームに対応した修正プログラムがダウンロードできます。
http://www.microsoft.com/downloads/details.aspx?familyid=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en
また、MS03-033の修正プログラムはWindows
Updateからも適用可能です。
|
|
|