各位
Microsoft Index Server ISAPI Extension Buffer Overflow
Microsoft Index Server 2.0 および Indexing Server に含まれる DLL 中にバッファオーバーフローの脆弱性が発見されました。この脆弱性により、第三者がサーバー上で任意の操作を行うことが可能です。
対象となるのは、下記の組み合わせで稼働しているサーバーです。
Windows NT 4.0 + IIS + Index Server 2.0
Windows 2000 + IIS + Indexing Server
Windows XP Beta + IIS + Indexing Server
パッチ情報、および問題の詳細については下記の URL を参照して下さい。
Microsoft Security Bulletin(MS01-033)[日本語版]http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
[英語版]http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
Index Server および Indexing Server は IIS のインストールプロセスの一部としてインストールされます。注意すべき点として、Web コネクションが確立できれば Index Server が稼働していなくても、この脆弱性を悪用することが可能であることが挙げられます。
IIS サーバにおける .ida および .idq ファイルについてのスクリプト関連付けを削除することで問題を避けることが可能ですが、関連するソフトウェアのインストールでこの関連付けが復元されてしまうことがあります。根本的に脆弱性を解決するためにはパッチの適用が必要です。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2001-0010
JPCERT/CC
2001-06-20
JPCERT/CC Alert 2001-06-20
Microsoft Index Server ISAPI Extension Buffer Overflow
Microsoft Index Server 2.0 および Indexing Server に含まれる DLL 中にバッファオーバーフローの脆弱性が発見されました。この脆弱性により、第三者がサーバー上で任意の操作を行うことが可能です。
対象となるのは、下記の組み合わせで稼働しているサーバーです。
Windows NT 4.0 + IIS + Index Server 2.0
Windows 2000 + IIS + Indexing Server
Windows XP Beta + IIS + Indexing Server
パッチ情報、および問題の詳細については下記の URL を参照して下さい。
Microsoft Security Bulletin(MS01-033)[日本語版]http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
[英語版]http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
Index Server および Indexing Server は IIS のインストールプロセスの一部としてインストールされます。注意すべき点として、Web コネクションが確立できれば Index Server が稼働していなくても、この脆弱性を悪用することが可能であることが挙げられます。
IIS サーバにおける .ida および .idq ファイルについてのスクリプト関連付けを削除することで問題を避けることが可能ですが、関連するソフトウェアのインストールでこの関連付けが復元されてしまうことがあります。根本的に脆弱性を解決するためにはパッチの適用が必要です。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
前
コメント
共 有
