• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

FrontPage Server Extensionsに深刻なホール,IIS管理者は要チェック

勝村幸博 2002/09/26 ITpro

 マイクロソフトは9月26日,Internet Information Server/Services(IIS)に同こんされる「FrontPage Server Extensions(FPSE) 2000/2002」のセキュリティ・ホールを公開した。深刻度は「高」。悪用されると,IISサーバー上で任意のプログラムを実行される恐れがある。対策はパッチを適用することやFPSEを無効にすることなど。FPSEはデフォルトでは有効になっているので,IIS管理者は改めて確認したい。

  FPSEは,Webサイトの管理やWebベースのアプリケーション開発をリモートから可能にするツールで,IIS 4.0/5.0/5.1に同こんされている。今回,FPSEのコンポーネントの1つである「SmartHTMLインタプリタ(shtml.dll)」にセキュリティ・ホールが見つかった。SmartHTMLインタプリタは,フォームや“FrontPageベース”の動的なコンテンツを,Webページで利用できるようにするためのコンポーネントである。

 セキュリティ・ホールがあるFPSE(SmartHTMLインタプリタ)が動作するIISサーバーに,ある特定のリクエストを送信すると,FPSE 2000の場合にはSmartHTMLインタプリタがすべてのCPUリソースを使い果たしてしまい,サーバーは通常のサービスを提供できなくなる。FPSE 2002の場合には,SmartHTMLインタプリタでバッファ・オーバーフローが発生して,任意のプログラムを実行される可能性がある。

 対策はパッチを適用すること。ただし,Windows 2000およびWindows XP用の日本語版パッチは公開されているものの,Windows NT用の日本語版パッチは現時点(2002年9月26日正午)では未公開である。

 FPSEをアンイストールすることでも回避できる。FPSEおよびFPSEのコンポーネントには過去にもセキュリティ・ホールが見つかっているので,利用していない場合にはアンインストールしたい(関連記事)。FPSEに限らず,不要なサービスはすべて無効にすることはサーバーを運用する上での“鉄則”である。管理者は改めて確認したい。

 また,マイクロソフトが提供する「IIS Lockdownツール」で動的ページを無効にすれば,SmartHTMLインタプリタも無効になるので,セキュリティ・ホールの影響を回避できる。

◎参考資料
MS02-053 に関する情報(マイクロソフト,要約情報および日本語版パッチ)
MS02-053 Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution (Q324096)(米Microsoft,英語情報)
Smart HTML インタープリタでバッファオーバーランによりコードが実行される(Q324096) (MS02-053)(マイクロソフト)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る