このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:
2006
/07/14版
 
【登録日】2006/07/13
【更新日】2006/07/14
HFR BBS会議室
 
深刻度
  1(緊急)
2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
早期適用
再起動の必要性
不要(必要な場合あり)
アンインストール
可能
対象環境
サーバ
クライアント
セキュリティ情報
MS06-033(日本)
MS06-033(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS06-033/917283
ASP.NETのURL検証の脆弱性により、情報漏えいが起きる危険性
(ASP.NET の脆弱性により、情報漏えいが起こる)


対応の緊急性:早期適用 [攻撃コード未公開][攻撃事例なし]

危険性
                 
SP待ち
 
早期適用
 
緊急適用
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。

可能性のある攻撃
攻撃手法
脆弱性の影響
リモート攻撃 ウイルス/ワーム 電子メール添付 Webサイトへの誘導 コードの実行 権限の昇格 情報の漏えい サービス拒否 なりすまし
         
   
 
‥‥‥ 概要 ‥‥‥

 ASP.NET 2.0がURLを正しく検証しない脆弱性が存在し、Webサイト内で本来は許可していない部分にアクセスされる危険がある。ユーザー情報のIDやパスワードといった重要な情報が窃取される恐れがある脆弱性だ。特にInternet Information Services(IIS)+ASP.NET 2.0でWebサイトを構築し、インターネットに公開しているような場合は、攻撃を受ける危険性が高い。またイントラネットのWebサイトであっても、社内に侵入したウイルスなどから攻撃を受ける可能性もあるので、注意が必要だ。逆に、.NET Framework 2.0がインストールされている環境でも、IISを稼働していないクライアントPCなどは攻撃を受ける危険性はない。

 .NET Framework 2.0は、2006年初旬に発売された開発環境のVisual Studio 2005(以下VS2005)とともに正式提供が開始されたアプリケーション・フレームワークである。VS2005で開発されたWebアプリケーションなどが.NET Framework 2.0を利用することになる。VS2005は発売からまだ間がないことから、.NET Framework 2.0を利用するアプリケーションは、比較的最近に開発されたものである可能性が高い。.NET Framework 2.0やVS2005の開発途中のベータ版はずいぶん前から公開されていたので、最終的には新旧にかかわらず正確なバージョン確認が必要だが、確認に時間がかかるなら、新しいアプリケーションを搭載したサーバから手を付けるとよいだろう。

 マイクロソフトによれば、MS06-033の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかし脆弱性が明らかになったことから、実証コードが公開される可能性は高まっている。特にインターネットに公開しているサーバは、だれでも匿名攻撃が可能であり、攻撃により情報漏えの危険性があるので、なるべく早く修正プログラムを適用した方がよい。前述したとおり、IISを稼働していないクライアントPCは影響を受けないが、将来何らかの理由でIISを有効化するなどの可能性はあるので、修正プログラムは適用すべきだ。

 
脆弱性の内容

 ASP.NETは、.NET Frameworkの一部で、統一化されたWeb開発プラットフォームを提供するものだ。Webサーバ上で動的なWebページを構築できるほか、WebアプリケーションやWebサービスの開発・構築にも用いられる。

 脆弱性は、.NET Framework 2.0に含まれるASP.NET 2.0がURLパスを正しく検証しないことに起因する。細工されたリクエストを受信すると、本来はアクセスが制限されているはずのWebサイトの情報が読み取られてしまう危険性がある。特に、ASP.NETを利用して、機密情報を含むデータをホストしているWebサイトが、この脆弱性の影響を受けることになる。

 
対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
.NET Framework .NET Framework 2.0
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4+.NET Framework 2.0
Windows 2000 Server SP4+.NET Framework 2.0
Windows 2000 Advanced Server SP4+.NET Framework 2.0
Windows XP Professional SP1+.NET Framework 2.0
Windows XP Professional SP1a+.NET Framework 2.0
Windows XP Professional SP2+.NET Framework 2.0
Windows Server 2003, Standard Edition SP未適用+.NET Framework 2.0
Windows Server 2003, Enterprise Edition SP未適用+.NET Framework 2.0
Windows Server 2003, Standard Edition SP1+.NET Framework 2.0
Windows Server 2003, Enterprise Edition SP1+.NET Framework 2.0
Windows Server 2003 R2, Enterprise Edition+.NET Framework 2.0

■MBSA 2.0の結果
 MS06-033の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に「Microsoft .NET Framework, Version 2.0 用セキュリティ更新プログラム (KB917283)」が表示される。

 
適用時の注意点

■x64版Windows Server 2003では適用に失敗することがある
 「サポート技術情報:922481」によれば、Windows Server 2003 x64 EditionにおいてMS06-033の修正プログラムの適用に失敗することがあるということだ。これは、「ワトソン・カスタム・アクション」のバグに起因するものであると報告されている。

 適用に失敗した場合は、修正プログラムの適用に不要なすべてのボリュームを一時的にアンマウントしてから、修正プログラムを適用すればよい。適用後にボリュームを再マウントする。修正プログラム適用後に再起動が必要な場合は、システムの再起動後に再マウントを実行する必要がある。

 なおx86版Windows Server 2003には、いまのところ不具合の報告はない。

・サポート技術情報 922481(ASP.NET 開発プラットフォームのセキュリティ更新プログラムの説明):
http://support.microsoft.com/default.aspx?scid=kb;ja;922481(機械翻訳)

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター WU/MU/SUS/WSUSの表示
.NET Framework 2.0 Microsoft .NET Framework, Version 2.0 用セキュリティ更新プログラム (KB917283)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
.NET Framework 2.0:
ファイル名 日付 バージョン サイズ
NDP20-KB917283-X86.exe 2006/04/19 1.0.93.243
772,984
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\
aspnet_filter.dll 2006/04/14 2.0.50727.101
10,752
Microsoft ASP.NET ISAPI Filter DLL
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、aspnet_filter.dllのファイルのバージョンをプロパティで調べることで確認できる。

 
予想適用時間

修正プログラム名 50台 100台 250台 500台
NDP20-KB917283-X86.exe
12分 21分 46分 1時間28分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 
UpdateEXPERT上の表示

・.NET Framework 2.0:
[展開ビュー]−[Enterprise]タブに「名前:NDP20-KB917283-X86.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。