■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+Windows Service for UNIX 3.0 |
○
|
Windows 2000 Professional SP4+Windows Service
for UNIX 3.5 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
■Telnetクライアントが公開する情報を設定するためのレジストリ・キーを追加
MS05-033の修正プログラムにより、Telnetクライアントが「NEW-ENVIRON」コマンドを受け付けた際に、Telnetサーバに返信する環境変数を拡張可能にする仕組みが追加された(Windows
XP/Windows Server 2003)。それにはまずMS05-033の修正プログラムを適用してから、以下のレジストリ・キーを新たに作成する。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetClient\AllowedEnvVariables |
「サポート技術情報:900934」によれば、MS05-033の修正プログラムを適用すると、上記のレジストリ・キーが追加されるとしている。しかし、DA
Labで適用テストを行った結果、レジストリ・キーは追加されなかった。
・サポート技術情報 900934(Security update 896428 adds a new registry key that lets the
Telnet client disclose additional environment variables in Windows Server 2003
and in Windows XP):
http://support.microsoft.com/default.aspx?scid=kb;en-us;900934
ここにMULTI_SZ型(複数行文字列型)の新しいレジストリ値として環境変数名を追加すれば、サーバに公開する環境変数を拡張できる。既定で公開される環境変数は以下のとおり。
・USER
・DISPLAY
・SYSTEMTYPE
・ACCT
・JOB
・PRINTER
・SFUTLNTMODE
・SFUTLNVER
もしTelnetを利用する業務アプリケーションなどが上記以外の環境変数を必要とするなら、クライアントPCにおいて、それらを前述のレジストリ・キーに追加する必要がある。
■Windows OS以外にもMS05-033と同様の脆弱性が存在する
MS05-033の脆弱性は、Windows OSだけでなく、Solaris、SuSE LinuxなどのほかのプラットフォームのTelnetクライアントでも存在が確認されている。またWindows
OSにUNIX環境サブ・システムを提供するマイクロソフト製ソフトウェアWindows Services for UNIX(SFU) 2.2(英語版のみ)/3.0/3.5がWindows
2000にインストールされている場合、そのTelnetクライアント(%SystemRoot%\system32\telnet.exe)にもMS05-033の脆弱性が存在する。この場合、マイクロソフトが提供しているSFU向け修正プログラムの適用が必要になる。
■Windows XP/Server 2003+SFUにはOS向けの修正プログラムを適用する
Windows XP/Server 2003+SFUでは、Telnetコマンド(%SystemRoot%\system32\telnet.exe)は、SFUに含まれるバージョンに置き換えられない(OSにインストールされているものがそのまま利用される)。そのため、MS05-033の修正プログラムのうちSFU向けは適用不要で、OS向けだけを適用すればよい。
■SFU向け修正プログラムはSFUの再インスール後に再適用が必要
MS05-033のSFU向け修正プログラムは、SFUを再インストールしたり、バージョンアップ(SFU 3.0からSFU 3.5など)したりした際に再適用が必要になる。SFUをインストールしたら、必ずMS05-033の修正プログラムを適用すること。
■MBSA 1.21の結果
MS05-033の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「Telnet
クライアントの脆弱性により、情報漏えいが起こる (896428)」が表示される。なお、MBSA 1.21はSFUをサポートしていない。MS05-033のSFU向け修正プログラムが正しく適用されているかどうかをMBSA
1.21で確認することはできない。
|