1月5日,マイクロソフトは,Internet Information Services 5.0(IIS 5.0)の深刻なセキュリティ・ホール「『Webサーバーによるファイル要求の解析』のぜい弱性」に対処するための日本語版用パッチを公開した。米MicrosoftのWebサイトで「Japanese Language Version」を選択すれば,ダウンロードできる。Internet Information Server 4.0(IIS 4.0)も同セキュリティ・ホールの影響を受けるが,IIS 4.0の日本語版用パッチは現在準備中であるとしている。 【追記】1月9日,マイクロソフトはIIS 4.0の日本語版用パッチも正式アナウンスした。IIS 5.0用パッチと同様に,米MicrosoftのWebサイトからダウンロードできる。管理者はすぐに適用する必要がある。
このセキュリティ・ホールは,URLとして,ある特定のリクエストを送られると,Webサーバー上で任意のOSコマンドを実行される恐れがあるという,非常に深刻なものである。IIS 4.0および5.0が影響を受ける。
米国時間11月6日に,日本語版を含む,数カ国版用IIS 5.0のパッチが公開されたが,その後,そのパッチでは防げない新たな攻撃方法や,パッチの不具合が見つかり,英語版ではパッチの更新が相次いだ。最終的な英語版用パッチが公開されたのは,米国時間11月30日である。今回公開された日本語版用パッチは,そのパッチに対応する最新版である。
IIS 4.0については,英語版用のパッチは米国時間11月21日に公開されたものの,日本語版用は準備中としている。そのためマイクロソフトでは,(1)拡張子が「.bat」および「.cmd」のファイルにアクセスできないように,Webサーバーの公開用フォルダから削除あるいは移動する,(2)IISにアクセスしたユーザーに割り当てられる「IUSER_マシン名」アカウントが属するグループが,CMD.EXEにアクセスできないように,ファイルのアクセス権を設定することを,当面の対処法として挙げている。
しかしながら,正式にはアナウンスされていないものの,米Microsoftのサイトには,IIS 4.0 日本語版用のパッチが用意されている。近日中にマイクロソフトのセキュリティ情報ページでアナウンスされることが予想されるが,現時点では,各自の責任で適用する必要がある。【追記】1月9日に正式アナウンスされた。「マイクロソフト セキュリティ情報」のページから,パッチを公開しているページへリンクが張られている。なお,IIS 4.0のパッチを適用するには,Windows NT 4.0にService Pack 5以上を適用しておく必要がある。
[関連記事:IIS 5.0に深刻なセキュリティ・ホールが再び発覚]
[関連記事:トラブル続きのIISに,管理者は要注意]
[関連記事:またもやIISに深刻なセキュリティ・ホール]
[関連記事:解消されないIISのセキュリティ・ホール]
[関連記事:IISの深刻なセキュリティ・ホール情報を整理する]
