MS04-017/842689 |
Crystal Reportsの脆弱性により、ファイルの取得や削除が行われる危険性 |
(Crystal Reports Web Viewerの脆弱性により、情報の漏えいおよびサービス拒否が起こる) |
緊急対応度:適用作業の検討
|
危険性 |
脆弱性による危険性を示します。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性があります。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示します。 |
小 |
|
|
● |
|
|
|
|
|
|
|
大
|
← |
ServicePack待ち
|
|
早期適用
|
|
緊急適用
|
→
|
|
ファイル名などを適切に処理しないことで発生するディレクトリ・トラバースの脆弱性がBusiness Objects社のCrystal ReportsとCrystal
Enterpriseに存在するため、ファイルの取得や削除が行われる危険性がある。Visual Studio .NET 2003は、Crystal Reportsのカスタム・バージョンを含んでおり、これはデフォルトでインストールされる。従ってVisual
Studio .NET 2003を利用している場合は、なるべく早く適用作業を行った方がよい。
なお、現在のところMS04-017の脆弱性を悪用する攻撃コードは報告されておらず、エクスプロイト・コードも公開されていない。ただしWebアプリケーションとデータベースのセキュリティ・ソリューションを提供しているImperva社のレポートによると、Crystal
Reportsの脆弱性は以下のような簡単なURLの入力などによって攻撃可能だとしている。
http://foo,bar/crystalreportviewers/crystalimagehandler.aspx?
dynamicimage=..\..\..\..\..\my documents\private\passwords.txt |
・Imperva社のCrystal Reportsの脆弱性に関するレポート:
http://www.imperva.com/application_defense_center/papers/crystal_reports_8-jun-2004.html
|
概要
|
MS04-017の脆弱性は、Crystal ReportsとCrystal Enterpriseが、特定のHTTPリクエストに対して正しく入力検証を行わないことに起因する。特別なHTTPリクエストを受け取ると、Crystal
ReportsまたはCrystal Enterprise Web Viewersを介し、ファイルの取得や削除が行われる危険性がある。
Visual Studio .NET 2003/Outlook 2003 with Business Contact ManagerはCrystal
Reportsのカスタム・バージョンを、Microsoft Business Solutions CRM 1.2ではCrystal Enterprise 9.0
SDKをそれぞれ含んでいるため、脆弱性の影響を受ける。ただし、Outlook 2003 with Business Contact ManagerとMicrosoft
Business Solutions CRM 1.2は現在のところ日本語版は提供されていない。事実上、日本語環境ではVisual Studio .NET 2003のみがMS04-017の脆弱性の対象となる。
攻撃が実行されるには、Visual Studio .NET 2003がインストールされたコンピュータ上でInternet Information Services(IIS)が稼働していることが条件となる。IISを利用していない場合は、IISを無効化することで脆弱性を回避可能だ。
|
対象プラットフォーム
|
影響を受けるソフトウェア
|
対象プラットフォーム
|
Visual Studio .NET 2003 |
Visual Studio .NET 2003 |
Outlook 2003 with Business Contact Manager |
Outlook 2003 with Business Contact Manager(英語版のみ提供) |
Microsoft Business Solutions CRM 1.2 |
Microsoft Business Solutions CRM 1.2(英語版のみ提供) |
*UpdateEXPERTのサポート対象外 |
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Visual Studio .NET 2003 |
○
|
■修正プログラムの適用時にインストールCDが要求される
Visual Studio .NET 2003にMS04-017の修正プログラムを適用する際、インストールCDが要求される。適用時にインストールCDをCD-ROMドライブに入れておくか、参照されるDisc1の「vs_setup.msi」を事前にハードディスクにコピーしておくとよい。
■MBSA 1.2の結果
MBSA 1.2では、Visual Studio .NET 2003の検出をサポートしていない。DA LabでMBSA 1.2を試したところ、MS04-017はまったく表示されなかった。CrystalDecisions.Web.dllのファイル・バージョンで確認する必要がある。
|
|
|
ディレクトリ・トラバースの脆弱性は、多くの場合「\」や「..」などの記号を適切に処理しないことに起因する。例えば、ディレクトリ区切り文字として使用される「\」を「%5c」という文字列にエンコードしてURLに記述することで、本来は許可されないページやファイルへのアクセスが許されてしまう、といった脆弱性だ。
Business Objects社のCrystal ReportsとCrystal Enterpriseにディレクトリ・トラバースの脆弱性が存在し、ファイルが取得されてしまったり、削除されてしまったりする危険性がある。Visual
Studio .NET 2003には、Crystal Reportsが含まれており、デフォルトでインストールされるため、脆弱性の影響を受けることになる。
ただしこの脆弱性の影響を受けるのは、Visual Studio .NET 2003がインストールされているコンピュータ上でIISが稼働している場合だ。また、Crystal_Managed2003.msmマージ・モジュールを使用してCrystal
Reportsでカスタム・ソリューションを作成している場合には、この脆弱性の影響を受ける可能性がある。
カスタム・ソリューションを作成している場合は、Visual Studio .NET 2003にMS04-017の修正プログラムを適用後、再ビルドを行う必要がある。ただし、修正プログラムの影響によりカスタム・ソリューションが動作しなくなる危険性もあるので、運用環境以外のコンピュータで事前にテストを行いたい。
なお脆弱性の有無は、CrystalDecisions.Web.dllの存在と、そのバージョンが「9.1.9800.9」よりも古いかどうかを調べることで確認できる。もし、古いバージョンのCrystalDecisions.Web.dllが含まれている場合は、修正プログラムを適用すること。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUS の表示 |
Visual Studio .NET 2003 |
|
未対応 |
Outlook 2003 with Business Contact Manager |
|
未対応 |
Microsoft Business Solutions CRM 1.2 |
|
未対応 |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Visual Studio .NET 2003:
ファイル名 |
日付 |
バージョン |
サイズ |
VS7.1-KB841870-X86.exe |
2004/06/04 |
1.0.853.2583 |
2,119,480
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
|
CrystalDecisions.Web.dll |
2004/05/12 |
9.1.9800.9 |
151,552
|
Crystal Reports for Visual Studio .NET |
Crystal_Managed2003.msm |
2004/05/13 |
− |
507,392
|
− |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
Visual Studio .NET 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{981DFBF2-F25F-4C20-A2B3-AC64EAA6DD83}
または
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Visual Studio\7.1\M841870
|
|