MS06-056/922770 |
.NET Framework 2.0のクロスサイト・スクリプティングの脆弱性により、情報漏えいなどが起きる危険性 |
(ASP.NET 2.0 の脆弱性により、情報漏えいが起こる) |
対応の緊急性:早期適用 [攻撃コード未公開][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
|
○
|
|
|
○
|
|
|
|
|
|
|
.Net Framework 2.0にクロスサイト・スクリプティング(→ キーワード)の脆弱性が存在する。これにより細工されたWebページを開くと、悪意のあるスクリプトが実行されてしまう危険性がある。攻撃者によってクライアント側のスクリプトが実行されることで、情報が漏えいしたり、ユーザーが可能な操作をスクリプトから実行されたりしてしまう。
マイクロソフトによれば、MS06-056の脆弱性は非公開で報告されたとしており、攻撃例は確認されていないという。ただしインターネットに公開しているASP.NET
2.0を採用したサーバでは、攻撃を受ける危険性があるので、なるべく早期に修正プログラムを適用した方がよい。
キーワード
クロスサイト・スクリプティング (cross-site scripting)
本来は実行が許可されるべきでない外部Webサイトなどのスクリプト・プログラムが実行されてしまう脆弱性、またはそうした脆弱性を悪用した攻撃。
・セキュリティ用語 クロスサイト・スクリプティング(cross-site scripting):
http://www.hotfix.jp/archives/word/2003/word03-04.html
|
脆弱性の内容
|
.Net Framework 2.0がHTTP要求の内容を検証する方法に脆弱性が存在し、WebFormコントロールのAutoPostBackプロパティが「true(デフォルトはfalse)」に設定されていた場合、細工されたHTTP要求を受け取るとスクリプトを実行可能にしてしまう。
なおAutoPostBackプロパティが「true」になると、ユーザーがコントロールを操作するたびにサーバにポスト・バックが実行されるようになる。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
.NET Framework |
.NET Framework 2.0 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+.NET Framework 2.0 |
○
|
Windows 2000 Server SP4+.NET Framework 2.0 |
○
|
Windows 2000 Advanced Server SP4+.NET Framework 2.0 |
○
|
Windows XP Professional SP1a+.NET Framework 2.0 |
○
|
Windows XP Professional SP2+.NET Framework 2.0 |
○
|
Windows Server 2003, Standard Edition SP未適用+.NET Framework 2.0 |
○
|
Windows Server 2003, Enterprise Edition SP未適用+.NET Framework
2.0 |
○
|
Windows Server 2003, Standard Edition SP1+.NET Framework 2.0 |
○
|
Windows Server 2003, Enterprise Edition SP1+.NET Framework
2.0 |
○
|
Windows Server 2003 R2, Enterprise Edition+.NET Framework 2.0 |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0の結果
MS06-056の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に「Microsoft
.NET Framework, Version 2.0 用セキュリティ更新プログラム (KB922770)」が表示される。
|
適用時の注意点
|
■適用にはWindows Installer 3.1が必要
MS06-056の修正プログラムを適用するには、事前にWindows Installer 3.1がインストールされている必要がある。Windows Installer
3.1は、ダウンロード・センターで入手可能なので、事前に適用しておくこと。
・ダウンロード・センター(Windows Installer 3.1 Redistributable (v2) - 日本語):
http://www.microsoft.com/downloads/details.aspx?
familyid=889482fc-5f56-4a38-b838-de776fd4138c&displaylang=ja
■適用に失敗することがある
MS06-033と同様、「サポート技術情報:923100」「サポート技術情報:923101」によれば、MS06-056の修正プログラムの適用に失敗することがあるということだ(どちらのサポート技術情報(日本語版)もMS06-033の適用で失敗するケースについて記述してあるが、MS06-056でも同様の不具合が生じるとのことだ)。
適用時にエラー・コード「0x643」が表示された場合は、.NET Framework 2.0を一度アンインストールから再インストールする必要があるということだ。
・サポート技術情報 923100(セキュリティ更新プログラム 917283 をインストールするときに、コンピュータが応答を停止するか、エラー コード
"0x643" が表示されることがある):
http://support.microsoft.com/default.aspx?scid=kb;ja;923100
またWindows Server 2003 x64 Editionにおいて適用に失敗する場合は、「ワトソン・カスタム・アクション」のバグに起因するものであると報告されている。適用に失敗した場合は、修正プログラムの適用に不要なすべてのボリュームを一時的にアンマウントしてから、修正プログラムを適用し、適用後にボリュームを再マウントする。修正プログラム適用後に再起動が必要な場合は、システムの再起動後に再マウントを実行する必要がある。
・サポート技術情報 923101(Windows Server 2003 を実行しているコンピュータにセキュリティ更新プログラム 917283 をインストールするときに、エラーメッセージ
"Error 1324. フォルダ パス 'Program Files' に使用できない文字が含まれています" が表示される):
http://support.microsoft.com/default.aspx?scid=kb;ja;923101
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
.NET Framework 2.0 |
|
Microsoft .NET Framework, Version 2.0 用セキュリティ更新プログラム (KB922770) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
.NET Framework 2.0:
ファイル名 |
日付 |
バージョン |
サイズ |
NDP20-KB922770-X86.exe |
2006/09/14 |
1.0.168.497 |
2,280,312
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ |
aspnet_wp.exe |
2006/09/12 |
2.0.50727.210 |
23,040
|
aspnet_wp.exe |
System.Web.dll |
2006/09/12 |
2.0.50727.210 |
5,029,888
|
System.Web.dll |
webengine.dll |
2006/09/12 |
2.0.50727.210 |
300,032
|
Microsoft ASP.NET Support DLL |
|
|
|
修正プログラムが正しく適用できたかどうかは、置き換わるファイルのバージョンで確認する。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
NDP20-KB922770-X86.exe
|
13分 |
21分 |
47分 |
1時間30分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・.NET Framework 2.0:
[展開ビュー]−[Enterprise]タブに「名前:NDP20-KB922770-X86.exe」で登録
|
|