• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

IISに10種類のセキュリティ・ホール,サーバー上で任意のプログラムを実行される

すべてのホールをふさぐパッチも公開,管理者は早急に適用を

勝村幸博 2002/04/11 ITpro

 マイクロソフトは4月10日,同社Webサーバー・ソフト「Internet Information Server/Services(IIS)」に10種類の新しいセキュリティ・ホールがあることを明らかにした。影響を受けるのは IIS 4.0/5.0/5.1。最も深刻なセキュリティ・ホールを悪用されると,Webサーバー上で任意のプログラムを実行される恐れがある。すべてのホールをふさぐパッチが公開されているので,管理者は早急に適用する必要がある。

 10種類のセキュリティ・ホールのうち,バッファ・オーバーフロー(バッファ・オーバーラン)に関するものが5種類,サービス拒否に関するものが2種類,クロスサイト・スクリプティングに関するものが3種類である。

 このうち,バッファ・オーバーフローに関するセキュリティ・ホールを悪用されると,IISが稼働するWebサーバー上で,任意のプログラムを実行される恐れがある。最悪の場合,過去に大きな被害をもたらした「Nimda」のようなワーム(ウイルス)が出現する恐れすらある。

 また,クロスサイト・スクリプティングのセキュリティ・ホールを悪用されると,一般ユーザーが被害を受けることになる。

 事態は深刻である。IISが稼働しているマシンの管理者は,早急にパッチを適用する必要がある。パッチを適用した後は,レジストリをチェックして,きちんと適用されていることを確認したい。確認方法については,マイクロソフトの公開情報に記載されている。

 ただし,IIS 4.0にパッチを適用する際には注意が必要だ。IIS 4.0 をインストールした後に,Windows NT 4.0 Service Pack 6a が適用されていることを確認する必要がある。

 なお,今回のパッチには,いままで公開されたIISのセキュリティ・パッチがすべて含まれている。ただし,マイクロソフトが公開している情報の「警告」の欄にもあるように,パッチだけではふさげないセキュリティ・ホールが過去に見つかっている。それらについては,設定変更で対応する必要がある。具体的な変更方法については,マイクロソフトが公開している情報などを参照してほしい。

◎参考資料
Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る