IISに4種類の新たなセキュリティ・ホール，最大深刻度は「重要」

特定のISAPIエクステンションにもセキュリティ・ホール

勝村幸博

2003.05.29

　マイクロソフトは5月29日，同社のWebサーバー・ソフト「Internet Information Server/Services（IIS） 4.0／5.0／5.1」に見つかった4種類のセキュリティ・ホールを公表した。細工が施されたリクエストやファイルを送信されると，IISのサービスを停止されたり，任意のコードを実行されたりする恐れがある。セキュリティ・ホールの最大深刻度は上から2番目の「重要」。対策はパッチを適用すること。今回公開されたパッチは，過去に公開されたIIS用パッチを含む累積パッチである。

　今回公表されたセキュリティ・ホールは以下の4種類。

（1）クロスサイト・スクリプティング（CSS）のぜい弱性
（2）バッファ・オーバーランのぜい弱性
（3）特定のASPファイルへのリクエストで発生するサービス拒否のぜい弱性
（4）特定のWebDAVリクエストで発生するサービス拒否のぜい弱性

　（1）については IIS 4.0／5.0／5.1，（2）については IIS 5.0だけ，（3）についてはIIS 4.0／5.0，（4）については IIS 5.0／5.1（IIS 4.0にはWebDAV機能がない）――が影響を受ける。

　それぞれの深刻度は，（1）が「注意」，（2）と（3）が「警告」，（4）が「重要」である。なお，マイクロソフトが設定する深刻度は，高い順から「緊急」「重要」「警告」「注意」――の4段階である。マイクロソフトでは，「緊急」または「重要」のセキュリティ・ホールについては，パッチを常に適用する必要があると考えているという。「警告」あるいは「注意」のセキュリティ・ホールについては，ユーザーがセキュリティ情報を読み，自分の環境で影響を受けるかどうかを決定する必要があるとしている。

　（2）と（3）のセキュリティ・ホールを悪用するには，攻撃者は細工を施したファイルをIISサーバーにアップロードする必要がある。アップロードした後に，そのファイルへのリクエストを送信することで，はじめて攻撃が可能となる。このため，ユーザーからのアップロードを制限しているIISサーバーでは影響を受けない。（2）を悪用すれば任意のコードをIISサーバー上で実行できるものの，深刻度が「警告」になっているのはこのためだと考えられる。

　一方（4）については，細工を施したWebDAVリクエストを送信するだけでIISのサービスを停止させることが可能なので，深刻度は「重要」となっている。ただし，IISのサービスは，この攻撃によって停止させられても，自動的に再起動する。

　対策は，マイクロソフトが公開するパッチを適用すること。パッチを適用すれば，4種類すべてのセキュリティ・ホールを解消できる。IIS 4.0／5.0／5.1用のパッチは，それぞれ，Windows NT 4.0 SP6a／2000 SP2 または SP3／XP または XP SP1 ――の環境に適用できる。いずれのパッチも，「セキュリティ情報ページ」からダウンロードできるとともに，「Windows Update」から適用できる。

　今回公開されたパッチは，過去に公開されたIIS用パッチを含む累積パッチである。IIS 4.0および5.0用パッチには，それぞれ，Windows NT 4.0 Service Pack（SP）6a以降およびWindows 2000 SP2以降に公開されたすべてのIIS用パッチが含まれる。IIS 5.1用パッチには，過去に公開されたすべてのIIS 5.1用パッチが含まれる。また，今回公開されたパッチはアンインストールすることが可能である。

　なお，過去に公開された「MS02-050」のパッチを適用していない環境に，今回のパッチを適用すると不具合が起きる場合があるので注意したい。具体的には，IISサーバーがデジタル証明書を使ったクライアント認証をできなくなる。「MS02-050」のパッチを適用していない場合には，今回のパッチを適用した後でもかまわないので，同パッチを適用しておきたい（詳細はMicrosoftが公開するSecurity Bulletin の「Caveats」を参照のこと）。

　また，（2）と（4）のセキュリティ・ホールについては，「IIS Lockdown」ツールを適用することでも回避できる。IIS Lockdownをデフォルト設定のまま使えば，（2）の原因である「ssinc.dll」の呼び出しや（4）の原因であるWebDAVサービスを無効にできる。特に，WebDAVサービスには過去にもセキュリティ・ホールが見つかっているので，WebDAVサービスを使用していない場合には必ず無効にしておきたい（関連記事）。

ISAPIエクステンションにセキュリティ・ホール

　マイクロソフトは同日，Windows NT 4.0および2000に含まれるISAPIエクステンションの一つである「nsiislog.dll」のセキュリティ・ホールも公表した。ISAPIエクステンションとは，ISAPI（Internet Services Application Programming Interface）と呼ばれるインタフェースを介して，IISに付加機能を提供するダイナミック・リンク・ライブラリ（.dll）のことである。細工が施されたリクエストを送信されると，NT 4.0あるいは2000で稼働するIISサービスを停止させられる恐れがある。

　ただし，デフォルトではWindows NT 4.0および2000のいずれでも影響を受けない。「Windows Media Services」をインストールしている場合にのみ影響を受ける。また，Windows 2000 Professional および NT 4.0 Workstation では，Windows Media Servicesを利用できないので，このセキュリティ・ホールの影響を受けることはない。

　Windows Media Servicesをインストールしている環境だけが影響を受けるため，セキュリティ・ホールの深刻度は，下から2番目の「警告」に設定されている。

　対策はパッチを適用すること。「セキュリティ情報ページ」からダウンロードできる。Windows NT 4.0用のパッチについては，「Windows Update」からも適用できる。影響を受けるユーザーだけが適用すればよい。パッチの適用条件は，Windows NT 4.0用パッチについてはNT 4.0 SP6aを，Windows 2000用については 2000 SP2 または 2000 SP3 を適用していることである。

◎参考資料
◆「MS03-018：Internet Information Services 用の累積的な修正プログラム (811114)」に関する要約情報
◆Microsoft Security Bulletin MS03-018「Cumulative Patch for Internet Information Service (811114)」（英語情報）
◆「MS03-019：Windows Media サービスの ISAPI エクステンションの問題により，サービス拒否が起こる (817772)」に関する要約情報
◆Microsoft Security Bulletin MS03-019「Flaw in ISAPI Extension for Windows Media Services Could Cause Denial of Service (817772)」（英語情報）