このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/08/22日版

   
【登録日】2003/08/22
【更新日】2003/08/25
深刻度
  1(緊急)
2(重要)
  3(警告)
  4(注意)
対策
早期適用
再起動の必要性
あり
アンインストール
不可
対象環境
サーバ
クライアント
セキュリティ情報
MS03-033(日本)
MS03-033(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-033
含まれる過去の修正
脆弱性識別番号
更新履歴
2003/08/21 セキュリティ情報ページを公開
MS03-033/823718
MDACの脆弱性により、任意のプログラムの実行される可能性
(MDAC 機能の未チェックのバッファにより、システムが侵害される)
 

対応策
 早期に修正プログラムの適用作業を開始してください。
 
概要

 Microsoft Data Access Components(MDAC)は、Windowsプラットフォームにおいてデータベース接続を提供する各種コンポーネントの集合です。MDACは、ほぼすべてのWindows OSに標準で実装されているほか、SQL Serverやそのほかのアプリケーションにも含まれています。また、MDACの機能の一部は、Internet Explorerにも組み込まれています。そのMDACコンポーネントの中に未チェック・バッファの脆弱性が存在します。攻撃者は、この脆弱性を悪用して、コンピュータの完全な制御を取得できます。それにより、MDACを使用するアプリケーションを実行している権限によっては、データの作成/変更/削除、コンピュータの構成の変更、ハード ディスクのフォーマット、任意のプログラムの実行などが行われる可能性があります。

 攻撃者は、ネットワーク上で待ち受けているSQL Serverを装います。ネットワーク上のクライアント・コンピュータは、ネットワーク上のSQL Serverのリストを参照する場合に、サブネット上の全デバイスに対してブロードキャスト・リクエストを送信します。このリクエストに対して、攻撃者はSQL Serverを偽装して、応答データとして不正なUDPパケットを送信します。これにより、クライアント・コンピュータのMDACはバッファ・オーバーフローを起こします。

 このバッファ・オーバーフローは、企業のネットワークに侵入したワームが感染を広めたり、ほかのコンピュータを攻撃したりする場合に利用可能な脆弱性です。また、このMS03-033は、2002年8月1日に公開されたMS02-040で提供された修正プログラムを含んでいますが、MS02-040では解消されなかったいくつかの脆弱性の修正も含んでいます。これらの脆弱性はワームへの応用が懸念されますので、なるべく早く修正プログラムを適用してください。

 
DA Lab:HotFixテスティング・チームからのコメント

 MDACは、単体で配布されているほか、各種アプリケーションなどにも添付されることがあります。そのため、コンピュータにインストールされているMDACのバージョンを調べ、修正プログラムの対象であるかどうかを知る必要があります。そのためには、マイクロソフトが提供している「Component Checker」を利用します。以下の手順でインストールならびにバージョン・チェックが可能です。

  1. 以下のダウンロード・ページより、cc.exeをダウンロードし、実行します。
    ・Component Checkerのダウンロード・ページ:
    http://www.microsoft.com/japan/msdn/data/download.asp#cck
  2. 自動解凍形式のファイルなので、インストール先のフォルダを指定します(デフォルトは、c:\comcheck)。解凍先のフォルダにあるComCheck.exeがComponent Checkerの実行ファイルです。
  3. ComCheck.exeを実行し、解析タイプ(Analysis Type)を選択します。 通常は、「Perform analysis of your machine and automatically determine the release version.」を選び、[OK]ボタンをクリックします。
  4. 解析が開始されます。結果が表示されるまで数分かかります。結果は、ダイアログ・ボックスで、「The MDAC version that is closest to the version on your computer is '2.5 SP3 (2.53.6200.2)'」といった具合に表示されます。

 マイクロソフトのTechNetセキュリティ情報ならびにサポート技術情報には、今回の修正プログラムがサポート対象する以外のMDAC 2.5/2.6/2.7のバージョン(MDAC 2.6 SP1など)に対し、脆弱性があるのかないのかについての明確な記述がありません。念のため、もしMDACのバージョンが、「MDAC 2.6 SP1」など修正プログラムの対象外であった場合、まずMDACを対象となるバージョンに更新してから修正プログラムの適用を行うことをご検討ください。MDACは、以下のページから単体でダウンロード可能です。ただしアプリケーションによっては、MDACのバージョンに依存する場合があります。バージョン・アップの前に十分な検証を行ってください。

・MDACのダウンロード・ページ:
http://www.microsoft.com/japan/msdn/data/download.asp#uda

 
追加情報(2003/08/25)
MDAC 2.8未満のすべてのバージョンに脆弱性あり

 マイクロソフトのサポート技術情報(英語版)によると、MDAC 2.8未満のバージョンには、バッファ・オーバーフローの脆弱性があります(8月22日付けで情報が更新されました)。MDACのバージョンが、「MDAC 2.6 SP1」など修正プログラムの対象外であった場合、まずMDACを修正プログラムの対象となるバージョンに更新してから修正プログラムの適用を行うことをご検討ください。なおテストしたところ、Windows 2000 SP1においてMDAC 2.5 SP1からMDAC SP2/SP3への単体でのバージョン・アップは行えませんでした。この場合、MDAC 2.6もしくは2.7へバージョン・アップを行うか、Windows 2000 SP2もしくはSP3、SP4の適用をご検討ください(Windows 2000のサービスパックにはMDACが含まれています)。

・マイクロソフトのサポート技術情報 823718(英語版):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;823718

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります(主な組み合わせのみ掲載)。
影響を受けるソフトウェア 対象プラットフォーム
Microsoft Data Access Components 2.5 SP2 Windows 2000 SP2+MDAC 2.5 SP2
Microsoft Data Access Components 2.5 SP3 Windows 2000 SP3/SP4+MDAC 2.5 SP3
Microsoft Data Access Components 2.6 SP2 SQL Server 2000 SP2+MDAC 2.6 SP2
Microsoft Data Access Components 2.7 Windows XP+MDAC 2.7
Microsoft Data Access Components 2.7 RTM Refresh Windows XP+MDAC 2.7 RTM Refresh
Microsoft Data Access Components 2.7 SP1 Windows XP SP1/SP1a+MDAC 2.7 SP1
Microsoft Data Access Components 2.7 SP1 Refresh Windows XP SP1/SP1a+MDAC 2.7 SP1 Refresh
(注意)MDACは、UpdateEXPERTのサポート対象外です。現在、サポートについて検討しています。
 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
ファイル名 日付 バージョン サイズ
Q823718_MDAC_SecurityPatch.exe 2003/08/16 6.0.2800.1106
1,632,320
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル (MDAC 2.5 SP2) %SystemRoot%\system32
Odbc32.dll 2003/07/23 3.520.6100.40
212,992
Microsoft Data Access - ODBC Driver Manager
Odbcbcp.dll 2003/07/21 3.70.11.40
24,848
Microsoft BCP for ODBC
Odbccp32.dll 2003/07/22 3.520.6100.40
102,672
Microsoft Data Access - ODBC Installer
Sqlsrv32.dll 2003/07/21 3.70.11.40
524,560
Microsoft SQL Server ODBC Driver
展開ファイル(MDAC 2.5 SP3) %SystemRoot%\system32
Odbc32.dll 2003/07/23 3.520.6300.40
212,992
Microsoft Data Access - ODBC Driver Manager
Odbcbcp.dll 2003/07/21 3.70.11.40
24,848
Microsoft BCP for ODBC
Odbccp32.dll 2003/07/23 3.520.6300.40
102,672
Microsoft Data Access - ODBC Installer
Sqlsrv32.dll 2003/07/21 3.70.11.40
524,560
Microsoft SQL Server ODBC Driver
展開ファイル(MDAC 2.6 SP2) %SystemRoot%\system32
Dbnetlib.dll 2003/07/21 2000.80.746.0
86,588
Winsock Oriented Net DLL for SQL Clients
Odbc32.dll 2003/07/22 3.520.7501.40
217,360
Microsoft Data Access - ODBC Driver Manager
Odbcbcp.dll 2003/07/22 2000.80.746.0
29,252
Microsoft BCP for ODBC
Odbccp32.dll 2003/07/23 3.520.7501.40
102,672
Microsoft Data Access - ODBC Installer
Sqlsrv32.dll 2003/07/21 2000.80.746.0
455,236
Microsoft SQL Server ODBC Driver
  %ProgramFiles%\Common Files\System\Ole DB
Sqloledb.dll 2003/07/31 2000.80.746.0
479,800
Microsoft OLE DB Provider for SQL Server
展開ファイル(MDAC 2.7) %SystemRoot%\system32
Dbnetlib.dll 2003/07/31 2000.81.9001.40
61,440
Winsock Oriented Net DLL for SQL Clients
Odbc32.dll 2003/07/22 3.520.9001.40
204,800
Microsoft Data Access - ODBC Driver Manager
Odbcbcp.dll 2003/07/22 2000.81.9001.40
24,576
Microsoft BCP for ODBC
Odbccp32.dll 2003/07/22 3.520.9001.40
94,208
Microsoft Data Access - ODBC Installer
Sqlsrv32.dll 2003/07/22 2000.81.9001.40
356,352
Microsoft SQL Server ODBC Driver
  %ProgramFiles%\Common Files\System\Ole DB
Sqloledb.dll 2003/07/31 2000.81.9001.40
450,560
Microsoft OLE DB Provider for SQL Server
展開ファイル(MDAC 2.7 SP1) %SystemRoot%\system32
Dbnetlib.dll 2003/07/22 2000.81.9041.40
61,440
Winsock Oriented Net DLL for SQL Clients
Odbc32.dll 2003/07/22 3.520.9041.40
204,800
Microsoft Data Access - ODBC Driver Manager
Odbcbcp.dll 2003/07/22 2000.81.9041.40
24,576
Microsoft BCP for ODBC
Odbccp32.dll 2003/07/22 3.520.9041.40
98,304
Microsoft Data Access - ODBC Installer
Sqlsrv32.dll 2003/07/22 2000.81.9041.40
385,024
Microsoft SQL Server ODBC Driver
  %ProgramFiles%\Common Files\System\Ole DB
Sqloledb.dll 2003/07/31 2000.81.9041.40
471,040
Microsoft OLE DB Provider for SQL Server
[お詫び]HotFix Report配信時にSqloledb.dllのインストール先を %SystemRoot%system32 としていましたが、%ProgramFiles%\Common FIles\System\Ole DB の誤りでした。
 
確認方法

 修正プログラムが正しく適用されたことを確認するには、「適用されるファイル情報」にある各ファイルの日付とバージョンを比較してください。

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード・ページで「Download」をクリックしてください。すべての対象プラットフォームに対応した修正プログラムがダウンロードできます。

http://www.microsoft.com/downloads/details.aspx?familyid=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en

 また、MS03-033の修正プログラムはWindows Updateからも適用可能です。

 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。