-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2003-0003 JPCERT/CC 2003-03-18 <<< JPCERT/CC Alert 2003-03-18 >>> Microsoft IIS 5.0 の脆弱性に関する注意喚起 Vulnerability of Microsoft IIS 5.0 http://www.jpcert.or.jp/at/2003/at030003.txt I. 概要 Microsoft IIS 5.0 の WebDAV 機能にバッファオーバーフローの脆弱性が発 見されました。結果として、遠隔から第三者が IIS を実行しているユーザの 権限 (標準では LocalSystem) を取得する可能性があります。 ※ WebDAV は、Microsoft IIS 5.0 において標準で有効になっています。 この脆弱性を使った攻撃手法が既に公開されていますので、Microsoft IIS 5.0 を使用している場合は、早急に対策を講じることを強くお勧めします。 詳細については、以下の URL で示されるページを参照してください。 CERT Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0 http://www.cert.org/advisories/CA-2003-09.html CIAC Bulletin N-054 Microsoft Unchecked Buffer in Windows Component Could Cause Web Server Compromise http://www.ciac.org/ciac/bulletins/n-054.shtml マイクロソフト セキュリティ情報 Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される (MS03-007) http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp II. 対象 IIS 5.0 が稼動している以下の Microsoft Windows です。 - Microsoft Windows 2000 Datacenter Server - Microsoft Windows 2000 Advanced Server - Microsoft Windows 2000 Server - Microsoft Windows 2000 Professional III. 解決方法 この問題は、マイクロソフトが提供している修正プログラムを適用すること で解決します。修正プログラムの適用方法などの詳細については、以下の文書 を参照してください。 マイクロソフト セキュリティ情報 Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される (MS03-007) http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp また、修正プログラムの適用が困難、もしくは不可能な場合の一時的な回避策 については、以下の文書内の「回避策」を参照してください。 マイクロソフト セキュリティ情報 (MS03-007):よく寄せられる質問 http://www.microsoft.com/japan/technet/security/bulletin/fq03-007.asp 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbT9Yx1ay4slNTtAQGuSQQAoldVte/xw3TAnPzLiwyTkVM+4whRwFED K6pC9hW9HiHewmxlMvf7UUQUSkmu6lmSvA5nMaId9Dx800fCgCywjZmEDJRDobwv ean68lPMDqLmANQfy1k1tlvB1UF0H0B8sabrYn/Is9JzJUwCz/QTaIoXPOK1ttVP kVP/uHEq1yg= =rv6c -----END PGP SIGNATURE-----