米Microsoftは現地時間7月17日,7月12日に公開したInternet Information Services(IIS)の修正パッチに不具合が見つかったを明らかにした。同パッチには,(1)適用しているにもかかわらず,Microsoft Updateなどを利用すると適用するよう繰り返し促される,(2)適用に失敗しても,Microsoft Updateなどは再適用するよう促さない---という問題が確認された。現在では,これらの問題は解消されている。
今回の問題は,「Active Server Pages を使用した Internet Information Services (IIS) の脆弱性により,リモートでコードが実行される (917537) (MS06-034)」の修正パッチで確認された(関連記事:WindowsやOfficeに危険なセキュリティ・ホール)。
1つ目の問題は,パッチを適用済みであっても,Microsoft UpdateやWindows Update,自動更新,WSUSは適用していないものと判断して,再度適用するよう促す(あるいは,自動的に再適用する)こと。環境によっては,パッチの適用対象となるファイル(ASP.dll)が存在しないにもかかわらず,同パッチを適用するよう促されるという。
2つ目の問題は,パッチの適用に失敗しても,再適用を促さないこと。これについては,Windows 2003 SP1だけが影響を受ける。IISを実行している環境でパッチを適用しようとすると,適用できたようにみえても,適用されていない場合があるという。これは,パッチの適用対象であるASP.dllがIISによってロックされることが原因。その後Windows Updateや自動更新などを利用しても,再適用するようには促されないという。
現在ではいずれの問題も解消済み。2つ目の問題により,Windows 2003 SP1では同パッチが適用されていない可能性があるので,MicrosoftではWindows 2003 SP1ユーザーに対してWindows Updateなどを再度実施するよう勧めている。
・米Microsoftの情報
・Microsoft Security Response Centerの情報
