マイクロソフトは6月13日,Internet Information Server 4.0/Services 5.0(IIS 4.0/5.0)のセキュリティ・ホールを公開した。ある特定のリクエストがIISサーバーに送信されると,サービスを停止させられたり,サーバー上で任意のプログラムを実行されたりする恐れがある。対策は,パッチの適用かHTR機能を無効にすること。
今回のセキュリティ・ホールは,HTR機能を実現するISAPIエクステンションの不具合が原因である。このISAPIエクステンションが処理するような,不正なリクエストが送信されると,同エクステンションがバッファ・オーバーフローを引き起こす。
なお,HTR機能とは,IISに初期に実装されたスクリプティング機能のこと。ASP(Active Server Pages)機能の登場により,現在はほとんど利用されていない。また,ISAPIエクステンションとは,ISAPI(Internet Services Application Programming Interface)と呼ばれるインタフェースを介して,IISに付加機能を提供するダイナミック・リンク・ライブラリ(.dll)のことである。
対策は,既に公開されている日本語版用パッチを適用すること。パッチを適用できない場合には,HTR機能を無効にすることでも回避できる。HTR機能に関連するセキュリティ・ホールは複数見つかっているために,マイクロソフトは同機能を無効にすることを,「Internet Information Server 4 ベース ライン セキュリティ チェックリスト」や「IIS 5.0 ベースライン セキュリティ チェックリスト」などで勧めている(無効にする方法はこれらのドキュメントに書かれている)。「IIS Lockdown ツール」を使っても無効になる。日ごろから対策を施していれば,HTR機能は無効にされているはずなので,今回のセキュリティ・ホールの影響を受けない。
とはいえ,HTR機能を無効にしていても,念のためにパッチを適用しておきたい。無効にしていても,システム構成などを変更すると,勝手に元の状態に戻る場合があるからだ。
マイクロソフトは深刻度を「中」としているものの,リモート・ユーザーから任意のプログラムを実行される恐れがある,深刻なセキュリティ・ホールである。実際,今回のセキュリティ・ホールを発見した米eEye Digital Securityでは,深刻度(Severity)を「高(High)」と設定し,できるだけ早くパッチを適用するよう勧めている。
また,HTR機能が無効になっていることを改めて確認したい。HTR機能を使うことはまずないので,必ず無効にしておきたい。
なお,マイクロソフトから最近公開されるパッチは,それまで公開されたパッチをすべて含んだ“累積パッチ”であるが,今回のパッチは異なる。上記のセキュリティ・ホールだけを修正するパッチであるので,注意しておきたい。
◎参考資料
◆MS02-028 に関する情報(要約情報,マイクロソフト)
◆Heap Overrun in HTR Chunked Encoding Could Enable Web Server Compromise (Q321599)(英語情報,米Microsoft)
◆Windows 2000 and NT4 IIS .HTR Remote Buffer Overflow(英語情報,米eEye Digital Security)
◆HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される (Q321599) (MS02-028)(マイクロソフト)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
