マイクロソフトは4月10日,同社Webサーバー・ソフト「Internet Information Server/Services(IIS)」に10種類の新しいセキュリティ・ホールがあることを明らかにした。影響を受けるのは IIS 4.0/5.0/5.1。最も深刻なセキュリティ・ホールを悪用されると,Webサーバー上で任意のプログラムを実行される恐れがある。すべてのホールをふさぐパッチが公開されているので,管理者は早急に適用する必要がある。

 10種類のセキュリティ・ホールのうち,バッファ・オーバーフロー(バッファ・オーバーラン)に関するものが5種類,サービス拒否に関するものが2種類,クロスサイト・スクリプティングに関するものが3種類である。

 このうち,バッファ・オーバーフローに関するセキュリティ・ホールを悪用されると,IISが稼働するWebサーバー上で,任意のプログラムを実行される恐れがある。最悪の場合,過去に大きな被害をもたらした「Nimda」のようなワーム(ウイルス)が出現する恐れすらある。

 また,クロスサイト・スクリプティングのセキュリティ・ホールを悪用されると,一般ユーザーが被害を受けることになる。

 事態は深刻である。IISが稼働しているマシンの管理者は,早急にパッチを適用する必要がある。パッチを適用した後は,レジストリをチェックして,きちんと適用されていることを確認したい。確認方法については,マイクロソフトの公開情報に記載されている。

 ただし,IIS 4.0にパッチを適用する際には注意が必要だ。IIS 4.0 をインストールした後に,Windows NT 4.0 Service Pack 6a が適用されていることを確認する必要がある。

 なお,今回のパッチには,いままで公開されたIISのセキュリティ・パッチがすべて含まれている。ただし,マイクロソフトが公開している情報の「警告」の欄にもあるように,パッチだけではふさげないセキュリティ・ホールが過去に見つかっている。それらについては,設定変更で対応する必要がある。具体的な変更方法については,マイクロソフトが公開している情報などを参照してほしい。

◎参考資料
Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

(勝村 幸博=IT Pro)