深刻度
|
|
1(緊急) |
|
2(重要) |
→ |
3(警告) |
|
4(注意) |
|
対策
|
早期適用
|
再起動の必要性
|
なし(関連サービスの再起動あり)
|
アンインストール
|
可
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
よく寄せられる質問
|
|
含まれる過去の修正
|
なし
|
脆弱性識別番号
|
|
更新履歴
|
2003/10/16 セキュリティ情報ページを公開 |
|
MS03-047/829436 |
Exchange Server 5.5 OWAが利用するASPの脆弱性により、クロスサイト・スクリプティング攻撃が実行される可能性 |
(Exchange Server 5.5 Outlook Web Access の脆弱性により、クロスサイト スクリプティングの攻撃が実行される)
|
|
|
対応策 |
なるべく早く修正プログラムの適用作業を開始してください。 |
|
概要 |
WebブラウザでExchange Serverのメールボックスへのアクセスを可能にする Exchange Server 5.5 Outlook Web
Access(OWA)に脆弱性が存在します。OWAにより、Exchange Serverを実行しているサーバがWebサイトとして機能し、認証されたユーザーがメールの受送信や予定表の管理などをインターネット経由で行うことを可能にします。ユーザーのメールや予定表などは、OWAにより、Active
Server Page(ASP)を用いて、動的に作成されます。このうち新しいメッセージの作成時に使用するASPが、要求されたURLを不適切なエンコードでHTMLに変換するため、この脆弱性が発生します。
この脆弱性によって、クロスサイト・スクリプティング(→ キーワード)の攻撃を受ける危険性があります。攻撃者は、別のWebサイト上のスクリプトへのリンクを埋め込むことで、OWA
WebサイトからのリンクであるとWebブラウザが誤認するような方法で、そのリンクをWebブラウザに戻す可能性があります。この攻撃により、ユーザーのWebセッション中に任意のコードを実行可能とします。
攻撃者がこの脆弱性を悪用するには、ユーザーがOWAにログオンするように誘導する必要があるため、危険性はそれほど高くありません。しかし、そのほかの脆弱性と組み合わせた攻撃も予想されますので、なるべく早く修正プログラムの適用作業を行ってください。
|
キーワード |
■クロスサイト・スクリプティング(cross-site scripting)
Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つです。「XSS」と呼ばれることもあります。
ユーザーの入力などに応じて動的に生成されるWebページにおいて、受け付けた入力データを正しく処理しないことにより、特殊なスクリプト・コードが入力されて、本来は許可されていないような操作が可能になる場合があります。このようなセキュリティ・ホールを指して「クロスサイト・スクリプティングの脆弱性」などと呼びます。
・セキュリティ用語:クロスサイト・スクリプティング(cross-site scripting)
http://www.hotfix.jp/archives/word/2003/word03-04.html
|
|
DA Lab:HotFixテスティング・チームからのコメント |
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
MS03-047の修正プログラムで置き換えられるASPページをカスタマイズしている場合、修正プログラムの適用前にファイルのバックアップを取ってください。ファイルが上書きされるため、カスタマイズが無効となります。修正プログラムの適用後に、再び新たなASPページに対してカスタマイズを適用する必要があります。
また修正プログラムの適用時にInternet Information Services(IIS)、Exchangeのストア・サービス、Exchange
System Attendant Servicesが再起動します。OWAを介してログオンしているユーザーがいないときに、修正プログラムの適用を行ってください。可能であれば、Exchange
Serverを停止してから作業を行うことをお勧めします。なお、修正プログラムの適用時間は、5分程度です(環境によって若干異なることがあります)。
|
|
追加情報(2003/10/30) |
MS03-047の修正プログラムがOutlook Web Accessの特定の言語パックをサポートしていなかった問題 |
当初リリースされたMS03-047の修正プログラムでは、Outlook Web Accessの特定の言語パックがサポートされておらず、それらをインストールした環境においては脆弱性が解消されないという不具合がありました。マイクロソフトは、10月23日に、この不具合を解消した改訂版の修正プログラムの提供を開始しました。
最初に公開されたバージョンの修正プログラムでは、日本語、英語、ドイツ語、フランス語の各言語によるOutlook Web Accessの表示をサポートしていました。新しい修正プログラムでは、中国語や韓国語、イタリア語など、そのほかの言語のサポートを追加しています。特に、Outlook
Web Accessの言語パックをインストールして、日本語、英語、ドイツ語、フランス語以外の言語も利用している環境では、新しい修正プログラムを適用する必要があります。その場合、当初のMS03-047で提供された修正プログラムをアンインストールし、あらためて新しい修正プログラムをインストールする必要があるので注意してください。
また、MS03-047の修正プログラムが適切に機能するためには、その修正プログラムをインストールしたOutlook Web AccessサーバにInternet
Explorer 5.01またはそれ以降のバージョンがインストールされている必要があることを、マイクロソフトは条件として追加しました。
|
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Exchange Server 5.5 |
Exchange Server 5.5 SP4 |
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Exchange Server 5.5 SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Exchange5.5-KB828489-x86-jpn.EXE |
2003/09/23 |
− |
1,931,880
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
cdo.dll |
2003/09/16 |
5.5.2657.67 |
803,600
|
Collaboration Data Objects 1.21 for Windows NT |
展開ファイル |
%EXSRVROOT%\bin |
cdohtml.dll |
2003/09/16 |
5.5.2657.67 |
536,848
|
Collaboration Data Objects Rendering Library
1.22 |
htmlsnif.dll |
2003/07/19 |
6.5.6582.0 |
57,344
|
HTMLSNIF tool |
safehtml.dll |
2003/07/19 |
6.5.6582.0 |
225,280
|
SAFEHTML tool |
展開ファイル |
%EXSRVROOT%\WEBDATA |
global.asa |
2003/07/19 |
− |
5,118
|
− |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN |
encode.inc |
2003/08/12 |
− |
1,180
|
− |
root.asp |
2003/09/16 |
− |
6,975
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\ATTACH |
read.asp |
2003/09/16 |
− |
2,470
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\CALENDAR |
events.asp |
2003/09/16 |
− |
2,494
|
ASPファイル |
main_fr.asp |
2003/09/16 |
− |
5,780
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FINDUSER |
fumsg.asp |
2003/09/16 |
− |
4,425
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS |
amunres.asp |
2003/09/16 |
− |
12,415
|
ASPファイル |
openitem.asp |
2003/09/16 |
− |
3,455
|
ASPファイル |
pickform.asp |
2003/09/16 |
− |
3,224
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\CONTACT |
contdet.asp |
2003/09/16 |
− |
13,277
|
ASPファイル |
frmroot.asp |
2003/09/16 |
− |
8,114
|
ASPファイル |
postatt.asp |
2003/09/16 |
− |
5,476
|
ASPファイル |
postMsg.asp |
2003/09/16 |
− |
11,241
|
ASPファイル |
postroot.asp |
2003/09/16 |
− |
5,266
|
ASPファイル |
posttitl.asp |
2003/09/16 |
− |
7,903
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\NOTE |
cmpatt.asp |
2003/09/16 |
− |
5,361
|
ASPファイル |
cmpmsg.asp |
2003/09/16 |
− |
7,476
|
ASPファイル |
cmpOpt.asp |
2003/09/16 |
− |
3,236
|
ASPファイル |
cmpTitle.asp |
2003/09/16 |
− |
7,096
|
ASPファイル |
frmroot.asp |
2003/09/16 |
− |
8,641
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\POST |
postatt.asp |
2003/09/16 |
− |
5,395
|
ASPファイル |
postMsg.asp |
2003/09/16 |
− |
6,422
|
ASPファイル |
postroot.asp |
2003/09/16 |
− |
6,561
|
ASPファイル |
posttitl.asp |
2003/09/16 |
− |
5,259
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\SCHEDULE
\MEETING\CANCELED |
frmroot.asp |
2003/09/16 |
− |
8,919
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\SCHEDULE
\MEETING\REQUEST |
frmRoot.asp |
2003/09/16 |
− |
30,928
|
ASPファイル |
mrAppt.asp |
2003/09/16 |
− |
20,466
|
ASPファイル |
mrAtt.asp |
2003/09/16 |
− |
5,799
|
ASPファイル |
mrOpt.asp |
2003/09/16 |
− |
2,985
|
ASPファイル |
mrPlaner.asp |
2003/09/16 |
− |
11,988
|
ASPファイル |
mrRecur.asp |
2003/09/16 |
− |
25,148
|
ASPファイル |
mrTitle.asp |
2003/09/16 |
− |
10,728
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\FORMS\IPM\SCHEDULE
\MEETING\RESP |
frmroot.asp |
2003/09/16 |
− |
11,572
|
ASPファイル |
rspatt.asp |
2003/09/16 |
− |
5,330
|
ASPファイル |
rspmsg.asp |
2003/09/16 |
− |
8,839
|
ASPファイル |
rspopt.asp |
2003/09/16 |
− |
3,289
|
ASPファイル |
rsptitle.asp |
2003/09/16 |
− |
7,814
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\INBOX |
commands.asp |
2003/09/16 |
− |
11,828
|
ASPファイル |
main_fr.asp |
2003/09/16 |
− |
11,104
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\JPN\MOVCPY |
root.asp |
2003/09/16 |
− |
8,251
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\USA\ATTACH |
read.asp |
2003/09/16 |
− |
2,473
|
ASPファイル |
展開ファイル |
%EXSRVROOT%\WEBDATA\USA\FINDUSER |
fumsg.asp |
2003/09/16 |
− |
4,336
|
ASPファイル |
(注意)cdo.dllとcdohtml.dllのファイル・バージョンがマイクロソフトの「TechNetセキュリティ情報:MS03-047」に示されているものと異なっております。調査の結果、表に示したものが修正プログラムの適用後のバージョンとなります。 |
|
確認方法 |
修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、各クライアント上で以下のレジストリ・キーが作成されていることを確認してください。
・Exchange Server 5.5 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\828489
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Exchange Server 5.5 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C516FE75-95CE-4FFF-B83D-9B170FCD0C1C&displaylang=ja
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
Outlook Web Accessを無効化することで、攻撃を回避できます。無効化の手順は、以下のとおりです。すべてのExchangeサイトに対して、この作業を行ってください。
- Exchange管理ツールを起動します。
- サイトの設定コンテナを展開します。
- そのサイトの[プロトコル コンテナ]を選択します。
- [HTTP (Web) サイト設定オブジェクト]プロパティを開きます。
- [プロトコルを有効にする] チェック・ボックスをオフにします。
- 変更の複製を待ちます。この変更がサイト内のExchange Serverに複製されたことを、各Exchange Server上のExchange管理ツールで確認します。
なおOutlook Web Accessを無効化すると、ユーザーはWebブラウザによるメールボックスへのアクセスができなくなります。
|
|
UpdateEXPERTによる予想適用時間 |
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Exchange5.5-KB828489-x86-jpn.EXE
(Exchange Server 5.5 SP4) |
13分 |
21分 |
47分 |
1時間30分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Exchange Server 5.5 SP4:
[展開ビュー]−[Exchange]タブに「名前:Exchange5.5-KB828489-x86-jpn.EXE」で登録
|
|
|