米Microsoftは4月30日(米国時間),BizTalk Server 2000/2002に新しいセキュリティ・ホールがあると発表し,既知の問題にも対処する累積的な修正プログラムの配布を開始した(該当サイト)。今回公開されたセキュリティ・ホールは2つある。1つはBizTalk 2002のHTTP受信機能でバッファ・オーバーランが発生するというもので,深刻度は「重要」。もう1つはBizTalk 2000/2002の双方が備えるDocument Tracking and Administration(DTA) SQL Injectionのぜい弱性に関するもので,深刻度は「警告」。
HTTP受信機能のバッファ・オーバーランのぜい弱性では,攻撃者が任意のコードをBizTalk Server上で実行できるようになる。ただし,BizTalk ServerのHTTP受信機能はデフォルトではオフになっている。
DTA SQL Injectionのぜい弱性とは,DTAの正規ユーザーに対して,アタッカーが偽装したURLクエリーを送信できるというもの。このURLにアクセスした場合,DTAの正規ユーザーが悪意のあるSQL文を実行してしまう可能性がある。
(中田 敦=日経Windowsプロ)
