このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2004/01/15日版

   
【登録日】2004/01/14
【更新日】2004/01/20
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
対策
至急適用
再起動の必要性
なし(ISA Serverの再起動あり)
アンインストール
対象環境
サーバ
  クライアント
セキュリティ情報
MS04-001(日本)
MS04-001(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq04-001
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2004/01/14 セキュリティ情報ページを公開
MS04-001/816458
ISA Server 2000のH.323フィルタの脆弱性により、コンピュータの制御を完全に取得されてしまう危険性
(Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される)
 

対応策: 修正プログラムの適用作業を至急開始してください。
 
概要

 ISA Server 2000がデフォルトで有効化しているH.323フィルタにバッファ・オーバーランの脆弱性が存在します。この脆弱性により、ISA Server 2000を実行しているコンピュータで、攻撃者の任意のプログラムが実行可能となります。その結果、コンピュータを完全に制御する権限が攻撃者に奪われてしまう危険性があります。

 通常ISA Serverは、社内ネットワークとインターネットの境界で利用されるため、インターネットから直接攻撃を受ける危険性が非常に高い製品です。また、ISA Serverが実行されているコンピュータの制御が奪われると、ファイアウォールの働きを無効にして、その後、社内ネットワークへの侵入を許すような攻撃も可能です。H.323フィルタはデフォルトで有効になっているため、ISA Serverをファイアウォールとして利用している場合には、至急、修正プログラムの適用を実施してください。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
 
影響を受けるソフトウェア 対象プラットフォーム
Internet Security and Acceleration Server 2000 Windows 2000/Windows Server 2003+ISA Server 2000 SP1/Feature Pack 1
Small Business Server 2000 Small Business Server 2000 SP未適用/SP1
Small Business Server 2003 Small Business Server 2003
(注意)Small Business Server 2000/2003には、ISA Server 2000が含まれています。ISA Server、SBS 2000/2003は、UpdateEXPERTのサポート対象外です。
 
詳細情報

 ISA Server 2000のMicrosoft Firewallサービスにおいて、H.323フィルタがトラフィックをチェックする方法にバッファ・オーバーランの脆弱性が存在します。H.323は国際テレフォニー標準の1つで、インターネット電話を実現するVoIP(Voice over IP)や、インターネット・テレビ会議システムなどのリアルタイム性を必要とするマルチメディア・データを扱うプロトコルとして、多くのアプリケーションがサポートしています。

 攻撃者によって特別に細工されたH.323トラフィックをMicrosoft Firewallサービスが受信すると、任意のコードが実行され、コンピュータの制御が奪われてしまう危険性があります。この脆弱性を悪用したクラッキング・プログラムやワームの登場も懸念されます。

 H.323フィルタは、ISA Server 2000を「統合モード」または「ファイアウォール・モード」でインストールした場合、デフォルトで有効になっています。一方「キャッシュ・モード」でインストールした場合は、Microsoft Firewallサービスが無効になっているため、H.323フィルタは実行されていません。ただし、「キャッシュ・モード」から「統合モード」または「ファイアウォール・モード」に変更した場合、脆弱性の影響を受けるようになるのでご注意ください。

 また、MS04-001の修正プログラム適用した後、VoIPを利用するためにH.323 Gatekeeperサービスを追加インストールした場合、修正プログラムの再適用が必要になります(この操作により、いったん適用したMS04-001の修正プログラムが無効になってしまいます)。なおH.323 Gatekeeperサービスは、ISA Server 2000を「標準インストール」でインストールした場合は、実行されていません。「完全インストール」を選択した場合、H.323 Gatekeeperサービスがインストールされ、サービスが自動的に開始されます。

 
DA Lab:HotFixテスティング・チームからのコメント

 MS04-001の修正プログラムは、適用後のコンピュータの再起動は不要です。ただし修正プログラムの適用後にISA Serverのサービスが再起動されます。そのため、ISA Serverのサービスが再起動される間(1分程度)、通信がエラーとなります。修正プログラムの適用は、アクセスが切断されても支障がない状態で実施してください。

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
ファイル名 日付 バージョン サイズ
ISA2000-KB816458-x86.exe 2003/12/23 5.3.16.3
247,432
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %ProgramFiles %\Microsoft ISA Server\
gksvc.dll 2003/12/16 3.0.1200.291
140,560
Microsoft H.323 Gatekeeper Service
h323asn1.dll 2003/12/16 3.0.1200.291
209,168
Microsoft H.323 ASN.1 Library
h323fltr.dll 2003/12/16 3.0.1200.291
86,800
Microsoft H.323 Firewall Filter
gksvc.dllは、H.323 Gatekeeperサービスがインストールされている場合にのみインストールされます。
 
確認方法

 以下のファイルまたはレジストリ・キーを確認してください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\291

 またISA Server 2000のインストール先フォルダ(デフォルトでは%ProgramFiles%\Microsoft ISA Server)にgksvc.dll/h323asn1.dll/h323fltr.dllが存在する場合、そのファイル・バージョンがいずれも3.0.1200.291であることでも確認可能です。

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。

http://www.microsoft.com/downloads/details.aspx?FamilyID=CBE42990-4156-4E1D-9ACB-4CD449D9599B&DisplayLang=ja

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・H.323フィルタを無効化する
 H.323フィルタを無効にすることで、攻撃を回避することが可能です。H.323フィルタを無効にするには、ISA Server 2000が実行されているサーバ上で以下の操作を行ってください。

  1. 「ISAの管理」ツールを起動します。
  2. 左側ペインのツリーから[拡張]−[アプリケーション フィルタ]をクリックします。
  3. 右側ペインに表示されている「H.323 Filter」を選択して右クリックし、[無効化]を選択します。
  4. 管理ツールから「サービス」を起動して、Microsoft Firewallサービスを再起動します。

 H.323フィルタを無効化した場合、H.323トラフィックがMicrosoft Firewallサービスによってブロックされるため、H.323プロトコルを利用するすべてのアプリケーションが通信できなくなります。

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。