MS05-029/895179 |
Outlook Web Access(OWA)のクロスサイト・スクリプティングの脆弱性により、任意のコードが実行される危険性 |
(Exchange Server 5.5 の Outlook Web Access の脆弱性により、クロスサイト スクリプティング攻撃が行われる) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
Exchange Server 5.5のOutlook Web Access(OWA)が新しいメールの作成フォームでHTMLエンコードを実行する方法にクロスサイト・スクリプティング(→
キーワード)の脆弱性が存在する。細工したメッセージをユーザーに送り、それをユーザーがOWAで開くことで、メッセージ内のスクリプトが実行される。第3者へメールが転送されたり、Cookie情報の読み取りが行われたりする情報漏えいや、ユーザーのコンピュータ上でほかのコードが実行されるなどの危険性がある。
マイクロソフトによれば、MS05-029の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし修正プログラムが公開されたことから、脆弱性を発見したiDEFENSEがこの脆弱性に関するレポートを公開した。レポートには、攻撃コード作成のヒントになる情報も含まれている。この脆弱性を悪用したメール・ウイルスが出現すると、ユーザーが大きな被害を受けるため、Exchange
Server 5.5でOWAを有効にしている場合にはなるべく早期に修正プログラムを適用した方がよい。
・iDEFENSE(Microsoft Outlook Web Access Cross-Site Scripting Vulnerability ):
http://www.idefense.com/application/poi/display?id=261&type=vulnerabilities
|
■クロスサイト・スクリプティング(cross-site scripting)
Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。「XSS」と呼ばれることもある。ユーザーの入力などに応じて動的に生成されるWebページにおいて、受け付けた入力データを正しく処理しないことにより、特殊なスクリプト・コードが入力されて、本来は許可されていないような操作が可能になる。このようなセキュリティ・ホールを指して「クロスサイト・スクリプティングの脆弱性」などと呼ぶ。
・セキュリティ用語 クロスサイト・スクリプティング (cross-site scripting):
http://www.hotfix.jp/archives/word/2003/word03-04.html
|
概要
|
OWAは、Exchangeメール・ボックスに対して、ユーザーがWebブラウザを使用してアクセスすることを可能にするExchangeのサービスだ。ユーザーは、OWAを使用することで、Webブラウザでメールの受信/送信、予定表の管理などが行えるようになる。
Exchange Server 5.5におけるOWAのクロスサイト・スクリプティングの脆弱性は、MS04-026でも報告されているが、MS05-029の脆弱性は原因が異なる。iDEFENSEのレポートによれば、OWAを利用しているユーザーに対して以下のようにエンコードされた電子メールを送ることで攻撃が可能であるという(このスクリプトでは、「XSS」という警告ダイアログが表示される)。
<IMG SRC="javAsc
ript:alert('XSS')"> |
このように細工された電子メールをOWAで開くだけで、記述されたスクリプトが実行される。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Exchange Server 5.5 |
Exchange Server 5.5 SP4 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Server SP4+Exchange 5.5 SP4 |
○
|
Windows 2000 Advanced Server SP3+Exchange 5.5 SP4 |
○
|
■修正プログラム適用時にはサービスが停止する
MS05-029の修正プログラムは、ファイルを更新する直前に関連するサービスを自動的に停止し、ファイルを更新した後に各サービスを再起動する。停止するサービスとしては、IIS
AdminとWorld Wide Web Publishing Service、Microsoft Exchange Event Serviceおよびこれらに依存するサービスが確認できた。このほかにマイクロソフトは、停止するサービスとしてMicrosoft
Exchange Information StoreとMicrosoft Exchange System Attendantを挙げている。そのため、Exchangeにログオンしているユーザーがいないことを確認してから修正プログラムを適用したい。最悪の場合は、送信中の電子メールが失われたり、予定表の変更が反映されなかったりする可能性がある。
■Exchange Server 5.5 SP3とWindows NT Server 4.0+Exchange Server 5.5 SP4はサポートされない
MS05-029の修正プログラムの対象は、Exchange Server 5.5 SP4のみとなっている。Exchange Server 5.5 SP3を利用している場合は、Exchange
Server 5.5 SP4をインストールした後、MS05-029の修正プログラムを適用する。もちろん、MS04-026などほかのExchange Server
5.5 SP4用セキュリティ修正プログラムについても、未適用なのであれば適用を検討すべきだ。
またWindows NT Server 4.0のサポートは終了したため、Windows NT Server 4.0とExchange Server
5.5 SP4の組み合わせに対しても、MS05-029はサポート対象外となっている。Windows NT Server 4.0で利用している場合は、Windows
2000 Serverへの移行が必要になる。
■MBSA 1.21の結果
MS05-029の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Exchange Serverのセキュリティの更新」の「結果の詳細情報」に、「Exchange
Server 5.5 の Outlook Web Access の脆弱性により、クロスサイト スクリプティング攻撃が行われる (895179)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUS/WSUSの表示 |
Exchange Server 5.5 SP4 |
|
− |
|
|
|
以下のファイルが修正プログラムによって更新される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Exchange Server 5.5 SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Exchange5.5-KB895179-x86-jpn.EXE |
2005/04/19 |
− |
1,293,048
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
cdo.dll |
2005/04/16 |
5.5.2658.34 |
808,208
|
Collaboration Data Objects 1.21 for Windows NT |
展開ファイル |
%EXSRVROOT%\bin |
cdohtml.dll |
2005/04/16 |
5.5.2658.34 |
537,360
|
Collaboration Data Objects Rendering Library 1.22 |
htmlsnif.dll |
2002/11/15 |
6.5.6582.0 |
57,344
|
HTMLSNIF tool |
safehtml.dll |
2005/04/07 |
6.5.7547.0 |
201,728
|
SAFEHTML tool |
*背景が薄紫色のファイルはMS04-026と同じもの。 |
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Exchange Server 5.5 SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\KB895179\Filelist以下のファイル一覧を確認する
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Exchange5.5-KB895179-x86-jpn.EXE |
25分 |
33分 |
59分 |
1時間41分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
[展開ビュー]−[Exchange]タブに「名前:Exchange5.5-KB895179-x86-jpn.EXE」で登録
|
|