• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

.NET Frameworkにセキュリティ・ホール,Webアプリのセッション情報が失われるぜい弱性

渡辺享靖 2002/06/07 ITpro

 Microsoft .NET戦略の主軸となる.NETアプリケーション実行環境「.NET Framework」にセキュリティ・ホールが見付かった。マイクロソフトは6月7日,この問題の概要を発表(該当サイト)するとともに,修正プログラムのダウンロードを開始した。

 問題となるのは,.NET Framework 1.0に含まれるWebアプリケーションの実行コンポーネント「ASP.NET」(Active Server Pages .NET)である。このコンポーネントにバッファ・オーバーフローを引き起こすセキュリティ・ホールが存在した。ASP.NETアプリケーションを実行すると,悪意のある第三者によって不正なプログラムを実行される危険性がある。

 ASP.NETにはWebアプリケーションのセッションの状態を管理するいくつかの方法が提供されている。その1つである「StateServerモード」と呼ばれるセッション状態管理モードにおいて,Cookie関連の処理を実行するモジュールに未チェックのバッファが見付かった。ここを攻撃されると,例えば実行中のASP.NETアプリケーションを再起動させることが可能となり,その時点でアプリケーションを利用していたユーザーのすべてのセッション情報が失われてしまうという。

 .NET Frameworkは2002年3月にリリースされたばかりなので,攻撃対象となるASP.NET対応のWebアプリケーションはまだ少なく,実際の悪影響は小さいと見られる。だが,.NET Frameworkがインストールされているマシンには修正プログラムを早急に当てておく必要がある。修正プログラムをインストールするには,.NET Frameworkと同時にリリースされた同Service Pack 1も必要になる点に注意してほしい。

 なお,このセキュリティ問題はWebサーバーのIIS(Internet Information Services)バージョン5.0以上でASP.NETアプリケーションを動作させたときにしか起こらない。そのため,Windows 2000 Professional/Server,Windows XP Professional以外のマシンに対策を施す必要はない。

(渡辺 享靖=日経Windowsプロ)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    戸籍のマイナンバー対応を阻む2つの壁

     住民票と並んで個人にとってなじみの深い公的書類に戸籍がある。その戸籍をマイナンバーに対応させるための法制化の取り組みが本格化した。住民票や課税証明書と同様に、マイナンバーに基づく情報連携によって行政機関への戸籍謄抄本の提出を不要にして、国民の利便性向上と行政事務の効率化につなげるのが狙いだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る