MS06-064/922819 |
TCP/IP IPv6の実装上の脆弱性などにより、サービス拒否が起きる危険性 |
(TCP/IP IPv6 の脆弱性により、サービス拒否が起こる) |
対応の緊急性:早期適用 [攻撃コード公開済み][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
○
|
|
|
|
|
|
|
○
|
|
|
|
|
|
TCP/IP IPv6に3件の脆弱性が存在する。細工されたIPv6パケットを受信すると、接続がリセットされるなどして、サービス拒否が起きる。サーバがこれらの攻撃を受けるとクライアントとの接続がリセットされるため、事実上、サーバの役目を果たさなくなる。これらの脆弱性は、IPv4に対して2004年から2005年にかけて報告されたもので、IPv4に対しては、2005年4月にMS05-019で脆弱性が解消されているものだ。
・HotFix Alert MS05-019(TCP/IPの複数の脆弱性により、リモートでコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-019.html
・TechNetセキュリティ情報 MS05-019(TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる):
http://www.microsoft.com/japan/technet/security/bulletin/ms05-019.mspx
MS06-064の脆弱性は、いずれもすでに詳細が明らかになっており、実証コードも公開されている。深刻度は「4(注意)」と低いが、IPv6を利用している環境では攻撃を受ける危険性が高いので、早急に修正プログラムを適用した方がよい。なおMS06-064の脆弱性は、IPv6がインストールされている場合にのみ攻撃を受ける。IPv6は、Windows
XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1/R2のいずれもデフォルトではインストールされていない。現在IPv6が未インストールであり、今後もインストールする予定がなければ、この修正プログラムを適用する必要はないだろう。
|
脆弱性の内容
|
MS06-064の修正プログラムは、以下の3件の脆弱性を解消する。これらの脆弱性は、IPv4に対してMS05-019で解消されたものと同様のもの(コード実行の脆弱性を除く)が含まれており、すべてにおいて脆弱性が一般に公開されていた。
■ICMP接続リセットの脆弱性(深刻度:警告 CVE:CAN-2004-0790)
ICMP(インターネット制御メッセージ・プロトコル)リクエストを検証する方法に脆弱性が存在し、細工されたICMPメッセージを受信すると、既存の接続がリセットされてしまう(サービス拒否が起きる)。
この脆弱性は、IPv6をサポートするWindows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1/R2が対象となる。
■TCP接続リセットの脆弱性(深刻度:注意 CVE:CAN-2004-0230)
TCPパケットの内容を検証する方法に脆弱性が存在し、細工されたTCPパケットを受信すると、既存の接続がリセットさせられてしまう(サービス拒否が起きる)。TCPパケットのヘッダ中には、不正な要求に対して拒否応答を返すためのリセット・フラグや、送受信するデータの順序を制御するためのシーケンス番号などが含まれる。既存のTCP接続から、これらの情報をモニタして抽出し、リセット・フラグをセットした偽造TCPパケットが送りつけられると、この脆弱性により、現在アクティブなTCP接続が切断する。この脆弱性は、すでに一般に公開されており、実証コードも広く公開されている。
IPv6をサポートするWindows XP SP1/SP1a/SP2、Windows Server 2003 SP未適用/SP1/R2が対象となる。
■なりすましの接続要求の脆弱性(深刻度:注意 CVE:CVE-2005-0688)
TCP/IPネットワーク・パケットの検証が不完全であることに起因する脆弱性である。送信元のアドレスを細工したSYNパケットを受信すると、サービス拒否が起きる。このような攻撃は「LAND攻撃」と呼ばれる。LAND攻撃は1997年に報告された比較的古い攻撃手法で、すでに多くのOSで対策が行われているものだ。この脆弱性は、Windows
XP SP2とWindows Server 2003 SP未適用/SP1/R2が影響を受ける(Windows XP SP1/SP1aは影響を受けない)。
ファイアウォールのフィルタリングなどで、「送信元と受信先のアドレスが等しい外部からのパケットは破棄する」などの設定を行えば、攻撃は回避できる。特にWindows
Server 2003でWebサイトを構築しているような場合は、サービス拒否攻撃を受ける可能性があるので、ファイアウォールの導入や設定の確認を行った方がよい。Windows
XP SP2を利用している場合は、Windowsファイアウォールを有効にすることで脆弱性が回避可能だ。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows XP |
Windows XP SP1/SP1a/SP2 |
Windows Server 2003 |
Windows Server 2003 SP未適用/SP1/R2 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
Windows Server 2003 R2, Standard Edition |
○
|
Windows Server 2003 R2, Enterprise Edition |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0の結果
MS06-064の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能である。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に以下のいずれかが表示される。
- Windows XP 用セキュリティ更新プログラム (KB924496)
- Windows Server 2003 用セキュリティ更新プログラム (KB924496)
|
適用時の注意点
|
■IPv6が未インストールであることを確認する方法
IPv6がインストールされているかどうかは、[マイ ネットワーク]の[ローカル エリア接続のプロパティ]などを開いて、一覧に「Microsoft TCP/IP
version 6」があるかどうかで確認可能だ。
またコマンドプロンプトで以下のコマンド・ラインを実行することでも確認できる。
netsh interface IPv6 show interface |
未インストールならば、「IPv6 はインストールされていません。」と表示される。
この方法が正しく実行できない場合は、あらかじめipconfigコマンドなどでネットワーク・インターフェイスの名前を確認してから、コマンドプロンプトで以下のコマンド・ラインを実行する(「ローカル
エリア接続」の部分は、ネットワーク・インターフェイスの名前を指定する必要がある)。
未インストールならば、「Could not access IPv6 protocol stack - the stack is not installed.」と表示される。
■Windows XP SP1/SP1aでICMPをブロックする方法
Windows XP SP1/SP1aのインターネット接続ファイアウォール(ICF)は、標準ではIPv6のICMPパケットをブロックできない。これを解決するには「Advanced
Networking Pack for Windows XP」というアドオンをインストールすればよい。それには以下のWebページから「WindowsXP-KB817778-x86-JPN.exe」というインストール・パッケージを入手してインストールする。
・マイクロソフト サポート技術情報 817778(Advanced Networking Pack for Windows XP の概要)
http://support.microsoft.com/default.aspx?scid=kb;ja;817778
その後、IPv6 ICFを有効にして、ICMPパケットをブロックするように設定すればよい。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム (KB922819) |
Windows Server 2003 SP未適用/SP1/R2 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB922819) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows XP SP1/SP1a/SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB922819-x86-JPN.exe |
2006/08/16 |
1.0.0.0 |
864,056
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(SP1QFE) |
%SystemRoot%\system32\ |
6to4svc.dll |
2006/08/16 |
5.1.2600.1886 |
95,232
|
Service that offers IPv6 connectivity over an IPv4 network. |
inetmib1.dll |
2006/08/16 |
5.1.2600.1886 |
31,232
|
Microsoft MIB-II subagent |
iphlpapi.dll |
2006/08/16 |
5.1.2600.1886 |
83,456
|
IP Helper API |
ipv6.exe |
2006/08/16 |
5.1.2600.1886 |
48,640
|
IPv6 Configuration Utility |
ipv6mon.dll |
2006/08/16 |
5.1.2600.1886 |
54,272
|
IPv6 Monitor DLL |
netsh.exe |
2006/08/16 |
5.1.2600.1886 |
93,696
|
Network Command Shell |
obrs0411.dll |
2006/08/16 |
5.1.2600.1886 |
145,408
|
Service Pack 2 OOB Messages |
ws2_32.dll |
2006/08/16 |
5.1.2600.1886 |
70,656
|
Windows Socket 2.0 32-Bit DLL |
wship6.dll |
2006/08/16 |
5.1.2600.1886 |
13,312
|
IPv6 Helper DLL |
|
%SystemRoot%\system32\drivers\ |
tcpip6.sys |
2006/08/16 |
5.1.2600.1886 |
205,120
|
IPv6 driver |
tunmp.sys |
2006/08/16 |
5.1.2600.1886 |
11,776
|
Microsoft Tunnel Interface Driver |
展開フォルダ
(SP2GDR/
SP2QFE)
|
%SystemRoot%\system32\ |
6to4svc.dll |
2006/08/16 |
5.1.2600.2975 |
100,352
|
Service that offers IPv6 connectivity over an IPv4 network. |
|
%SystemRoot%\system32\drivers\ |
tcpip6.sys |
2006/08/16 |
5.1.2600.2975 |
225,664
|
IPv6 driver |
Windows Server 2003 SP未適用/SP1/R2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB922819-x86-JPN.exe |
2006/08/17 |
1.0.0.0 |
678,712
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR/
RTMQFE)
|
%SystemRoot%\system32\ |
6to4svc.dll |
2006/08/16 |
5.2.3790.576 |
64,512
|
Service that offers IPv6 connectivity over an IPv4 network. |
|
%SystemRoot%\system32\drivers\ |
tcpip6.sys |
2006/08/16 |
5.2.3790.576 |
203,904
|
IPv6 driver |
展開フォルダ
(SP1GDR)
|
%SystemRoot%\system32\ |
6to4svc.dll |
2006/08/16 |
5.2.3790.2771 |
99,840
|
Service that offers IPv6 connectivity over an IPv4 network. |
|
%SystemRoot%\system32\drivers\ |
tcpip6.sys |
2006/08/16 |
5.2.3790.2771 |
225,600
|
IPv6 driver |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB922819\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用/SP1/R2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB922819\Filelist以下のファイル一覧を確認する
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsXP-KB922819-x86-JPN.exe
(Windows XP SP1/SP1a/SP2) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB922819-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1/R2) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB922819-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用/SP1/R2:
[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB922819-x86-JPN.exe」で登録
|
|