• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Commerce Serverに深刻なセキュリティ・ホール,任意のプログラムを実行される

勝村幸博 2002/06/27 ITpro

 マイクロソフトは6月27日,同社のサーバー製品「Microsoft Commerce Server 2000/2002」に4種類のセキュリティ・ホールがあることを明らかにした。悪用されると,サーバー上で任意のプログラムを実行される恐れがある。非常に深刻なセキュリティ・ホールなので,管理者は早急にパッチを適用する必要がある。

 今回明らかにされたセキュリティ・ホールは以下の4種類。

(1)Commerce Server のプロファイル・サービスのバッファ・オーバーラン
(2)「AuthFilter」というISAPI フィルタのバッファ・オーバーラン
(3)Office Web コンポーネント(OWC)のバッファ・オーバーラン
(4)任意のコマンドを実行できてしまう,OWCのセキュリティ・ホール

 OWCはCommerce Serverに含まれるパッケージの一つで,デフォルトでインストールされる。

 同社が設定する深刻度は,(1)と(2)が「高」,(3)と(4)が「中」である。どのセキュリティ・ホールを悪用しても,攻撃者はCemmerce Serverが動作するサーバー・マシンへある特定のデータを送信することで,任意のプログラムを実行することが可能になる。

 ただし,(3)と(4)については,サーバー・マシンに直接ログオンできなければ,悪用することはできない。そのため,深刻度が「中」に設定されている。

 いずれも深刻なセキュリティ・ホールなので,管理者はすぐにパッチを適用して,対策を施す必要がある。日本語版用のパッチが同社サイトで公開されている。

◎参考資料
MS02-033に関する情報(要約情報とパッチ,マイクロソフト)
Unchecked Buffer in Profile Service Could Allow Code Execution in Commerce Server (Q322273)(英語情報,米Microsoft)
プロファイル サービスの未チェックのバッファにより Commerce Server でコードが実行される (Q322273)(日本語情報とパッチ,マイクロソフト

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【NRI楠真 強いITはココが違う】

    SIベンダーの強さを決める「体力」

     SIベンダーの体力は比較的よく話題に上ります。最も体力があるのはいわゆるメインフレーマの4社です。民間の案件ではあまり耳にしませんが、公共案件ではNTTグループの体力が群を抜いています。NRIは残念ながら「体力がありますね」とほめられることはあまりありません。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る