マイクロソフトは6月9日,Visual Studio .NET 2003に見つかったセキュリティ・ホールを公開した。悪用されると,IIS(Internet Information Services)を経由して,本来はアクセスを許可していないファイルにアクセスされる可能性などがある。深刻度は「警告」。対策はパッチを適用することなど。
今回公開されたセキュリティ・ホールは,Visual Studio .NET 2003に含まれる「Crystal Reports」に関するものである。Crystal Reportsは米Business Objects の製品であるが,Visual Studio .NET 2003に同梱されているので,影響を受ける。「Outlook 2003 with Business Contact Manager」と「Microsoft Business Solutions CRM 1.2」にもCrystal Reports(あるいはCrystal Enterprise)が同梱されているので影響を受けるが,これらの製品は英語版だけで,日本語版は存在しない。
Crystal Reportsには,特定のHTTP リクエストを受け取る際に入力データをきちんと検証しないセキュリティ・ホールが存在する。このため,Visual Studio .NET 2003を使用しているマシンでIISが稼働している場合には,細工を施したHTTPリクエストを送信されると,本来はアクセスは許可していないファイルにアクセスされる可能性がある。その結果,そのファイルを取得されたり,削除されたりする。
対策はパッチを適用すること。セキュリティ情報のページからダウンロードできる。IISの停止やCrystal Reportsの設定変更でも,攻撃を回避できる。詳細はセキュリティ情報のページを参照してほしい。
◎参考資料
◆Crystal Reports Web Viewer の脆弱性により,情報の漏えいおよびサービス拒否が起こる (842689) (MS04-017)
◆マイクロソフト セキュリティ情報 (MS04-017) : よく寄せられる質問
(勝村 幸博=IT Pro)
