MS06-033/917283 |
ASP.NETのURL検証の脆弱性により、情報漏えいが起きる危険性 |
(ASP.NET の脆弱性により、情報漏えいが起こる) |
対応の緊急性:早期適用 [攻撃コード未公開][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
○
|
|
|
|
|
|
○
|
|
|
|
|
|
|
ASP.NET 2.0がURLを正しく検証しない脆弱性が存在し、Webサイト内で本来は許可していない部分にアクセスされる危険がある。ユーザー情報のIDやパスワードといった重要な情報が窃取される恐れがある脆弱性だ。特にInternet
Information Services(IIS)+ASP.NET 2.0でWebサイトを構築し、インターネットに公開しているような場合は、攻撃を受ける危険性が高い。またイントラネットのWebサイトであっても、社内に侵入したウイルスなどから攻撃を受ける可能性もあるので、注意が必要だ。逆に、.NET
Framework 2.0がインストールされている環境でも、IISを稼働していないクライアントPCなどは攻撃を受ける危険性はない。
.NET Framework 2.0は、2006年初旬に発売された開発環境のVisual Studio 2005(以下VS2005)とともに正式提供が開始されたアプリケーション・フレームワークである。VS2005で開発されたWebアプリケーションなどが.NET
Framework 2.0を利用することになる。VS2005は発売からまだ間がないことから、.NET Framework 2.0を利用するアプリケーションは、比較的最近に開発されたものである可能性が高い。.NET
Framework 2.0やVS2005の開発途中のベータ版はずいぶん前から公開されていたので、最終的には新旧にかかわらず正確なバージョン確認が必要だが、確認に時間がかかるなら、新しいアプリケーションを搭載したサーバから手を付けるとよいだろう。
マイクロソフトによれば、MS06-033の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかし脆弱性が明らかになったことから、実証コードが公開される可能性は高まっている。特にインターネットに公開しているサーバは、だれでも匿名攻撃が可能であり、攻撃により情報漏えの危険性があるので、なるべく早く修正プログラムを適用した方がよい。前述したとおり、IISを稼働していないクライアントPCは影響を受けないが、将来何らかの理由でIISを有効化するなどの可能性はあるので、修正プログラムは適用すべきだ。
|
脆弱性の内容
|
ASP.NETは、.NET Frameworkの一部で、統一化されたWeb開発プラットフォームを提供するものだ。Webサーバ上で動的なWebページを構築できるほか、WebアプリケーションやWebサービスの開発・構築にも用いられる。
脆弱性は、.NET Framework 2.0に含まれるASP.NET 2.0がURLパスを正しく検証しないことに起因する。細工されたリクエストを受信すると、本来はアクセスが制限されているはずのWebサイトの情報が読み取られてしまう危険性がある。特に、ASP.NETを利用して、機密情報を含むデータをホストしているWebサイトが、この脆弱性の影響を受けることになる。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
.NET Framework |
.NET Framework 2.0 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+.NET Framework 2.0 |
○
|
Windows 2000 Server SP4+.NET Framework 2.0 |
○
|
Windows 2000 Advanced Server SP4+.NET Framework 2.0 |
○
|
Windows XP Professional SP1+.NET Framework 2.0 |
○
|
Windows XP Professional SP1a+.NET Framework 2.0 |
○
|
Windows XP Professional SP2+.NET Framework 2.0 |
○
|
Windows Server 2003, Standard Edition SP未適用+.NET Framework 2.0 |
○
|
Windows Server 2003, Enterprise Edition SP未適用+.NET Framework
2.0 |
○
|
Windows Server 2003, Standard Edition SP1+.NET Framework 2.0 |
○
|
Windows Server 2003, Enterprise Edition SP1+.NET Framework 2.0 |
○
|
Windows Server 2003 R2, Enterprise Edition+.NET Framework 2.0 |
○
|
■MBSA 2.0の結果
MS06-033の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に「Microsoft
.NET Framework, Version 2.0 用セキュリティ更新プログラム (KB917283)」が表示される。
|
適用時の注意点
|
■x64版Windows Server 2003では適用に失敗することがある
「サポート技術情報:922481」によれば、Windows Server 2003 x64 EditionにおいてMS06-033の修正プログラムの適用に失敗することがあるということだ。これは、「ワトソン・カスタム・アクション」のバグに起因するものであると報告されている。
適用に失敗した場合は、修正プログラムの適用に不要なすべてのボリュームを一時的にアンマウントしてから、修正プログラムを適用すればよい。適用後にボリュームを再マウントする。修正プログラム適用後に再起動が必要な場合は、システムの再起動後に再マウントを実行する必要がある。
なおx86版Windows Server 2003には、いまのところ不具合の報告はない。
・サポート技術情報 922481(ASP.NET 開発プラットフォームのセキュリティ更新プログラムの説明):
http://support.microsoft.com/default.aspx?scid=kb;ja;922481(機械翻訳)
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
.NET Framework 2.0 |
|
Microsoft .NET Framework, Version 2.0 用セキュリティ更新プログラム (KB917283) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
.NET Framework 2.0:
ファイル名 |
日付 |
バージョン |
サイズ |
NDP20-KB917283-X86.exe |
2006/04/19 |
1.0.93.243 |
772,984
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ |
aspnet_filter.dll |
2006/04/14 |
2.0.50727.101 |
10,752
|
Microsoft ASP.NET ISAPI Filter DLL |
|
|
|
修正プログラムが正しく適用できたかどうかは、aspnet_filter.dllのファイルのバージョンをプロパティで調べることで確認できる。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
NDP20-KB917283-X86.exe
|
12分 |
21分 |
46分 |
1時間28分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・.NET Framework 2.0:
[展開ビュー]−[Enterprise]タブに「名前:NDP20-KB917283-X86.exe」で登録
|
|