このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2004/06/10日版

 
【登録日】2004/06/09
【更新日】2004/06/10
深刻度
  1(緊急)
  2(重要)
3(警告)
  4(注意)
攻撃コードの有無
なし
対策
適用検討
再起動の必要性
なし(ファイルが使用中の場合、再起動が必要)
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS04-017(日本)
MS04-017(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq04-017
含まれる過去の修正
なし
脆弱性識別番号
MS04-017/842689
Crystal Reportsの脆弱性により、ファイルの取得や削除が行われる危険性
(Crystal Reports Web Viewerの脆弱性により、情報の漏えいおよびサービス拒否が起こる)

緊急対応度:適用作業の検討

危険性 脆弱性による危険性を示します。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性があります。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示します。
                 
ServicePack待ち
 
早期適用
 
緊急適用

 ファイル名などを適切に処理しないことで発生するディレクトリ・トラバースの脆弱性がBusiness Objects社のCrystal ReportsとCrystal Enterpriseに存在するため、ファイルの取得や削除が行われる危険性がある。Visual Studio .NET 2003は、Crystal Reportsのカスタム・バージョンを含んでおり、これはデフォルトでインストールされる。従ってVisual Studio .NET 2003を利用している場合は、なるべく早く適用作業を行った方がよい。

 なお、現在のところMS04-017の脆弱性を悪用する攻撃コードは報告されておらず、エクスプロイト・コードも公開されていない。ただしWebアプリケーションとデータベースのセキュリティ・ソリューションを提供しているImperva社のレポートによると、Crystal Reportsの脆弱性は以下のような簡単なURLの入力などによって攻撃可能だとしている。

http://foo,bar/crystalreportviewers/crystalimagehandler.aspx?
dynamicimage=..\..\..\..\..\my documents\private\passwords.txt

・Imperva社のCrystal Reportsの脆弱性に関するレポート:
http://www.imperva.com/application_defense_center/papers/crystal_reports_8-jun-2004.html

 

概要

 MS04-017の脆弱性は、Crystal ReportsとCrystal Enterpriseが、特定のHTTPリクエストに対して正しく入力検証を行わないことに起因する。特別なHTTPリクエストを受け取ると、Crystal ReportsまたはCrystal Enterprise Web Viewersを介し、ファイルの取得や削除が行われる危険性がある。

 Visual Studio .NET 2003/Outlook 2003 with Business Contact ManagerはCrystal Reportsのカスタム・バージョンを、Microsoft Business Solutions CRM 1.2ではCrystal Enterprise 9.0 SDKをそれぞれ含んでいるため、脆弱性の影響を受ける。ただし、Outlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2は現在のところ日本語版は提供されていない。事実上、日本語環境ではVisual Studio .NET 2003のみがMS04-017の脆弱性の対象となる。

 攻撃が実行されるには、Visual Studio .NET 2003がインストールされたコンピュータ上でInternet Information Services(IIS)が稼働していることが条件となる。IISを利用していない場合は、IISを無効化することで脆弱性を回避可能だ。

 

対象プラットフォーム

影響を受けるソフトウェア
対象プラットフォーム
Visual Studio .NET 2003 Visual Studio .NET 2003
Outlook 2003 with Business Contact Manager Outlook 2003 with Business Contact Manager(英語版のみ提供)
Microsoft Business Solutions CRM 1.2 Microsoft Business Solutions CRM 1.2(英語版のみ提供)
UpdateEXPERTのサポート対象外
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Visual Studio .NET 2003

■修正プログラムの適用時にインストールCDが要求される
 Visual Studio .NET 2003にMS04-017の修正プログラムを適用する際、インストールCDが要求される。適用時にインストールCDをCD-ROMドライブに入れておくか、参照されるDisc1の「vs_setup.msi」を事前にハードディスクにコピーしておくとよい。

■MBSA 1.2の結果
 MBSA 1.2では、Visual Studio .NET 2003の検出をサポートしていない。DA LabでMBSA 1.2を試したところ、MS04-017はまったく表示されなかった。CrystalDecisions.Web.dllのファイル・バージョンで確認する必要がある。

 
‥‥‥ 詳細情報 ‥‥‥

 ディレクトリ・トラバースの脆弱性は、多くの場合「\」や「..」などの記号を適切に処理しないことに起因する。例えば、ディレクトリ区切り文字として使用される「\」を「%5c」という文字列にエンコードしてURLに記述することで、本来は許可されないページやファイルへのアクセスが許されてしまう、といった脆弱性だ。

 Business Objects社のCrystal ReportsとCrystal Enterpriseにディレクトリ・トラバースの脆弱性が存在し、ファイルが取得されてしまったり、削除されてしまったりする危険性がある。Visual Studio .NET 2003には、Crystal Reportsが含まれており、デフォルトでインストールされるため、脆弱性の影響を受けることになる。

 ただしこの脆弱性の影響を受けるのは、Visual Studio .NET 2003がインストールされているコンピュータ上でIISが稼働している場合だ。また、Crystal_Managed2003.msmマージ・モジュールを使用してCrystal Reportsでカスタム・ソリューションを作成している場合には、この脆弱性の影響を受ける可能性がある。

 カスタム・ソリューションを作成している場合は、Visual Studio .NET 2003にMS04-017の修正プログラムを適用後、再ビルドを行う必要がある。ただし、修正プログラムの影響によりカスタム・ソリューションが動作しなくなる危険性もあるので、運用環境以外のコンピュータで事前にテストを行いたい。

 なお脆弱性の有無は、CrystalDecisions.Web.dllの存在と、そのバージョンが「9.1.9800.9」よりも古いかどうかを調べることで確認できる。もし、古いバージョンのCrystalDecisions.Web.dllが含まれている場合は、修正プログラムを適用すること。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター Windows Update/SUS の表示
Visual Studio .NET 2003 未対応
Outlook 2003 with Business Contact Manager 未対応
Microsoft Business Solutions CRM 1.2 未対応
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Visual Studio .NET 2003:
ファイル名 日付 バージョン サイズ
VS7.1-KB841870-X86.exe 2004/06/04 1.0.853.2583
2,119,480
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ  
CrystalDecisions.Web.dll 2004/05/12 9.1.9800.9
151,552
Crystal Reports for Visual Studio .NET
Crystal_Managed2003.msm 2004/05/13
507,392
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

Visual Studio .NET 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{981DFBF2-F25F-4C20-A2B3-AC64EAA6DD83}
または
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Visual Studio\7.1\M841870

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。