■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Server SP4+ISA Server 2000 Standard
SP2 |
○
|
Windows 2000 Advanced Server SP4+ISA Server 2000 Standard SP1 |
○
|
Windows Server 2003, Standard Edition+ISA Server
2000 Standard SP1 |
△*1
|
Windows Server 2003, Enterprise Edition+ISA Server 2000 Standard
SP2 |
△*1
|
*1 「ISA Server 2000向け修正プログラムの適用にはローカル・ログオンが必要?」を参照のこと
■マイクロソフトがなりすましの脆弱性を回避する方法を公開(2004/11/17 追記)
マイクロソフトは、MS04-029の脆弱性を回避する方法を「サポート技術情報:889189」で公開した。
・サポート技術情報 889189(マイクロソフト セキュリティ情報 MS04-039 に記載されている ISA Server 2000 と Proxy
Server 2.0 の DNS キャッシュのなりすましの脆弱性を回避する方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;889189
スタンドアロン・モードのISA Server 2000/Proxy Server 2.0では、レジストリの値を変更してDNSキャッシュのサイズを「0」に設定することで、逆引き参照の結果をキャッシュしないようにできる。詳細な手順については、上記のサポート技術情報を参照していただきたい。なお、キャッシュ・サイズを「0」にする手順を自動的に実行するスクリプトと、DNSキャッシュをクリアするツールも同時に提供されているので、すぐに修正プログラムの適用が行えないような場合は、この回避策を実行することを検討していただきたい。
・マイクロソフト(上記の手順を自動的に実行するスクリプト):
http://isatools.org/ms04-039.js
・マイクロソフト(ISA Server 2000 Web proxyのキャッシュをクリアするツール):
http://isatools.org/clrcache.cmd
■ISA Server 2000向け修正プログラムの適用にはローカル・ログオンが必要?
ISA Server 2000向けの修正プログラムを対象となるWindows Server 2003にローカル・ログオンせずにリモートで適用(サイレント・インストール)を行ったところ、一部のレジストリ値が正しく登録されないことをDA
Labで確認した。具体的には、修正プログラム自身が更新したファイルのリストのうち、ほとんどがレジストリに記録されない(キー名は後述の「ISA Server
2000向け修正プログラムで登録されるレジストリ・キーに注意」を参照)。ファイルの適用自体は完了し、アンインストール情報なども登録されるため、実運用上の問題はないものと思われる。
しかしレジストリ情報が正しく登録されないため、将来的に何らかの障害が発生することも懸念される。資産管理ソフトウェアなどを利用して修正プログラムを適用する場合は、ローカル・ログオンを行った後に実行した方がよいだろう。ただし、ローカル・ログオンの後にシステムの再起動を実行してしまうと、やはりリモートでの適用ではレジストリが正しく更新されなかったので注意していただきたい。なお、Windows
2000ではこの問題は発生しなかった。
■Proxy Server 2.0向け修正プログラムに含まれるファイルのバージョンはSP1と同じ
Proxy Server 2.0向け修正プログラムに含まれるファイルのバージョンは、Proxy Server 2.0 SP1と同じであるため、バージョン番号から修正プログラムの適用の有無は判断できない。ファイル・サイズと更新日時で確認していただきたい。参考までに、修正プログラムに含まれるファイルのSHA1ハッシュ値を以下に記す。
ファイル名
|
SHA1ハッシュ値
|
w3pcache.dll |
C125FC3AB69246DC92C6F0473AF2D401C807D509
|
w3proxy.dll |
57B7885E4F45A0123A65CC559FB3935FAF053E0D
|
wspsrv.exe |
494D3628EC93A830E42DEA0835C8E350F437EDA5
|
■ISA Server 2000向け修正プログラムの対象はWindows 2000 Server SP4以降?
TechNetセキュリティ情報には、ISA Server 2000がインストールされているWindows 2000 Serverのサービスパック・レベルについての記載はない。すでにマイクロソフトは、Windows
2000 Server SP3未満のサービスパックに対する修正プログラムの提供は行っていないことから、ISA Server 2000 SP1/SP2+Windows
2000 Server SP3/SP4が対象となりそうだ。
しかし、実際にWindows 2000 Server SP3に適用しようとしたところ、Windows 2000 Server SP4が必要であるというエラーメッセージが表示されてしまった。つまりWindows
2000 Serverの場合、Windows 2000 SP4の適用が必須ということだ。
ISA Server 2000 SP2の場合はWindows 2000 Server SP4の事前適用が必須のため、これは問題にならない。しかしISA
Server 2000 SP1の場合はWindows 2000 Server SP2以降なら運用できるため、注意が必要だ。まだWindows 2000 Server
SP3はマイクロソフトのサポート対象ではあるが、すでにWindows 2000 SP4がリリースされて1年以上経つ。なるべく早くWindows 2000 SP4をインストールすることをお勧めする。
■ISA Server 2000向け修正プログラムで登録されるレジストリ・キーに注意
MS04-039のISA Server 2000向け修正プログラムでは、適用が完了すると以下のレジストリ・キーを作成する。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft
ISA Server 2000\SP2\セキュリティ更新プログラム KB888258 |
これまでの修正プログラムならば、「セキュリティ更新プログラム KB888258」(英語版でも、「Security Update KB888258」)ではなく、以下のように「KB888258」とサポート技術情報番号のみでキーが作成される。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft
ISA Server 2000\SP2\KB888258 |
実際Proxy Server2.0では、サポート技術情報番号のみでキーが作成される仕様になっている。ISA Server 2000向けの修正プログラム(INFファイル)の作成ミスなのか、今後は「セキュリティ更新プログラム
<サポート技術情報番号>」という形式に変更になるのか不明だが、レジストリ・キーで修正プログラムの適用を確認する場合には注意が必要だ。
■脆弱性の対象はISA Server 2000本体
ISA Server 2000では、管理ツールをWindows 2000 ProfessionalなどのクライアントOSにもインストール可能だ。しかしMS04-039の脆弱性は、ISA
Server 2000本体に存在するため、管理ツールをインストールしたクライアントOSへの適用は不要だ。DA Labで調査したところ、管理ツールをインストールしただけのクライアントOSには適用が行えなかった(エラーが発生した)。
■適用中にはサービスが再起動される
ISA Server 2000用修正プログラムを適用している最中には、ファイアウォールやプロキシなどISA Server 2000の中核のサービスがいったん停止され、ファイルのコピー後に再び起動される。ネットワーク構成によってはインターネット接続が一時停止したり、インターネットにファイアウォールなしで接した状態になったりする可能性がある。こうした修正プログラムの適用による影響に留意していただきたい。
■MBSA 1.21の結果
MBSA 1.21は、ISA Server 2000/Proxy Server 2.0に対応していない。そのため、MS04-039の修正プログラムが正しく適用されているかどうかは、MBSA
1.21では確認できない。
|