このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/10/17日版

   
【登録日】2003/10/17
【更新日】2003/10/23
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
対策
至急適用
再起動の必要性
なし(全アプリケーションを事前に停止しておく必要あり。Exchange Serverおよび関連サービスの再起動あり)
アンインストール
対象環境
サーバ
  クライアント
セキュリティ情報
MS03-046(日本)
MS03-046(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-046
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2003/10/16 セキュリティ情報ページを公開
MS03-046/829436
Exchange ServerのSMTPプロトコルの脆弱性により、任意のコードが実行される可能性
(Exchange Server の脆弱性により、任意のコードが実行される)
 

対応策
 修正プログラムの適用作業を至急開始してください。
 
概要

 Exchange Serverでは、RFC 2821の拡張モデルによってSMTP拡張コマンドを定義しています。このSMTP拡張コマンドは、Exchange Server間のルーティング、ならびにほかのExchange環境との固有情報に関する通信を行うために利用されています。Exchange Server 5.5/Exchange 2000 Serverでは、このSMTP拡張コマンドを使用するための認証を行わないため、脆弱性が存在します。

 Exchange Server 5.5には、攻撃者が特別な細工をしたSMTP拡張コマンド・リクエストを発行することで、Exchange Server 5.5上で大量のメモリが割り当てられてしまうという問題があります。これにより、Exchange Server 5.5が異常停止し、メールの送受信が不可能になります。またExchange 2000 Serverでは、異常終了後に、任意のコードがローカル・システム・アカウントの権限で実行される危険があります。最悪の場合、システムが破壊される可能性もあります。

 MS03-046の修正プログラムは、Exchange環境内のExchange Server間で、SMTP 接続の認証を要求するように修正します。この修正により、同じExchange環境内で、ほかのExchange Serverに対する認証が自動的に行われるようになります。そのため修正プログラム適用後においても、Exchange Serverの構成を変更する必要はありません。

 
DA Lab:HotFixテスティング・チームからのコメント

 修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。なお修正プログラムの適用時間は、5分程度です(環境によって若干異なることがあります)。この間、Exchange Serverが一時停止しますので、業務時間外など、メールの送受信が少ない時間帯を選んで適用作業を行うことをお勧めします。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
 
影響を受けるソフトウェア 対象プラットフォーム
Exchange Server 5.5 Exchange Server 5.5 SP4
Exchange 2000 Server Exchange 2000 Server SP3
 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
・Exchange Server 5.5 SP4:
ファイル名 日付 バージョン サイズ
Exchange5.5-KB829436-x86-jpn.EXE 2003/10/14
1,165,928
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %EXSRVROOT%\connect\msexcimc\bin
msexcimc.exe 2003/10/01 5.5.2657.72
504,080
Microsoft Exchange Internet Mail Service
展開ファイル %EXSRVROOT%\res
imcmsg.dll 2003/10/01 5.5.2657.72
209,680
Microsoft Exchange Internet Message Service Messages
 
・Exchange 2000 Server SP3:
ファイル名 日付 バージョン サイズ
Exchange2000-KB829436-x86-jpn.exe 2003/10/10 5.3.18.5
1,081,448
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %EXSRVROOT%\bin
drviis.dll 2003/07/15 6.0.6487.1
131,072
SMTP Exchange Store Driver - IIS
exsmtp.dll 2003/07/15 6.0.6487.1
307,200
SMTP Exchange Store Driver - ストア モジュール
peexch50.dll 2003/07/15 6.0.6487.1
94,208
XEXCH50 sink DLL
phatcat.dll 2003/07/15 6.0.6487.1
393,216
The Exchange 2000 Categorizer!
spmsg.dll 2003/07/11 5.3.18.6
6,656
Service Pack Messages
spuninst.exe 2003/06/24 5.3.18.5
100,352
Windows Service Pack Uninstall
(注意)spmsg.dllとspuninst.exeは、インストール/アンインストールのために利用されるファイルです。システムの状況によってインストールされない場合があります。
 
確認方法

 修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、各クライアント上で以下のレジストリ・キーが作成されていることを確認してください。

・Exchange Server 5.5 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\829436

・Exchange 2000 Server SP3:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 2000\SERVICE PACK 4\829436

 
修正プログラム
 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

・Exchange Server 5.5 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=A9E872EA-54B0-4179-8AE9-5648BFB46459&displaylang=ja

・Exchange 2000 Server SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BAF5394-1B4E-4937-A570-9F232AE49F01&displaylang=ja

 
UpdateEXPERTによる予想適用時間
修正プログラム名 50台 100台 250台 500台
Exchange5.5-KB829436-x86-jpn.EXE
(Exchange Server 5.5 SP4)
12分 21分 46分 1時間29分
Exchange2000-KB829436-x86-jpn.exe
(Exchange 2000 Server SP3)
12分 21分 46分 1時間29分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

・Exchange Server 5.5 SP4:
 [展開ビュー]−[Exchange]タブに「名前:Exchange5.5-KB829436-x86-jpn.EXE」で登録

・Exchange 2000 Server SP3:
 [展開ビュー]−[Exchange]タブに「名前:Exchange2000-KB829436-x86-jpn.exe」で登録

 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。