マイクロソフトは9月26日,Internet Information Server/Services(IIS)に同こんされる「FrontPage Server Extensions(FPSE) 2000/2002」のセキュリティ・ホールを公開した。深刻度は「高」。悪用されると,IISサーバー上で任意のプログラムを実行される恐れがある。対策はパッチを適用することやFPSEを無効にすることなど。FPSEはデフォルトでは有効になっているので,IIS管理者は改めて確認したい。

  FPSEは,Webサイトの管理やWebベースのアプリケーション開発をリモートから可能にするツールで,IIS 4.0/5.0/5.1に同こんされている。今回,FPSEのコンポーネントの1つである「SmartHTMLインタプリタ(shtml.dll)」にセキュリティ・ホールが見つかった。SmartHTMLインタプリタは,フォームや“FrontPageベース”の動的なコンテンツを,Webページで利用できるようにするためのコンポーネントである。

 セキュリティ・ホールがあるFPSE(SmartHTMLインタプリタ)が動作するIISサーバーに,ある特定のリクエストを送信すると,FPSE 2000の場合にはSmartHTMLインタプリタがすべてのCPUリソースを使い果たしてしまい,サーバーは通常のサービスを提供できなくなる。FPSE 2002の場合には,SmartHTMLインタプリタでバッファ・オーバーフローが発生して,任意のプログラムを実行される可能性がある。

 対策はパッチを適用すること。ただし,Windows 2000およびWindows XP用の日本語版パッチは公開されているものの,Windows NT用の日本語版パッチは現時点(2002年9月26日正午)では未公開である。

 FPSEをアンイストールすることでも回避できる。FPSEおよびFPSEのコンポーネントには過去にもセキュリティ・ホールが見つかっているので,利用していない場合にはアンインストールしたい(関連記事)。FPSEに限らず,不要なサービスはすべて無効にすることはサーバーを運用する上での“鉄則”である。管理者は改めて確認したい。

 また,マイクロソフトが提供する「IIS Lockdownツール」で動的ページを無効にすれば,SmartHTMLインタプリタも無効になるので,セキュリティ・ホールの影響を回避できる。

◎参考資料
MS02-053 に関する情報(マイクロソフト,要約情報および日本語版パッチ)
MS02-053 Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution (Q324096)(米Microsoft,英語情報)
Smart HTML インタープリタでバッファオーバーランによりコードが実行される(Q324096) (MS02-053)(マイクロソフト)

(勝村 幸博=IT Pro)