ASP.NETに,特殊なURLを送るとアクセスできてはいけないファイルにアクセスできてしまうというぜい弱性に対処するプログラムを公開した。この問題は,Windows 2000,Windows XP Professional,Windows Server 2003上で動作するASP.NETのすべてのバージョンに存在する。

 今回の問題は,クライアントからURLとして指定された情報から,実際にアクセスすべきディスク上のファイルのファイル名を生成する部分に存在する。Microsoftは,この問題に関して調査中だとしており,これまではプログラムを修正することによる対処法をWebサイトで示していただけだった。

 しかし,10月8日からこの問題を回避するためのプログラムの提供を開始。MicrosoftのWebサイトからダウンロードしたMSIファイルをインストールすると,.NETのグローバル・アセンブリ・キャッシュ(GAC)にMicrosoft.Web.ValidatePathModule.dllファイルを追加する。そして,ASP.NETの設定ファイルであるmachine.configファイルを,HTTPモジュールとしてMicrosoft.Web.ValidatePathModule.dllをロードするよう,書き換える。これによって,ASP.NETプログラムを変更することなく,この問題を回避できるようになる。

(山口 哲弘=日経Windowsプロ

【IT Pro-Windows Reviewメール】を好評配信中。申し込みはこちら