• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS01-022 - 重大

WebDAV サービス プロバイダーは、スクリプトをユーザーとして要求に対して許可できます

公開日: 2001 年 4 月 18 日 |更新日: 2003 年 6 月 23 日

バージョン: 1.2

投稿日: 2001 年 4 月 18 日
更新日: 2003 年 6 月 23 日

まとめ
このセキュリティ情報を読む必要があるユーザー: Microsoft オペレーティング システムを使用しているお客様。

脆弱性の影響:
Web ベースのスクリプトでは、ユーザーの代わりに WebDAV 要求が発生する可能性があります。

推奨事項:
お客様は FAQ を参照して、影響を受けるバージョンがあるかどうかを判断し、該当する場合はパッチの適用を検討する必要があります。

影響を受けるソフトウェア:

  • Microsoft Windows® 95
  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Me
  • Microsoft Windows NT® 4.0
  • Microsoft Windows 2000

一般情報

技術詳細

技術的な説明:

Microsoft Data Access Component Internet Publishing Provider は、インターネット経由で WebDAV リソースへのアクセスを提供します。 仕様上、ユーザーが行った要求と、ユーザーのブラウザーで実行されているスクリプトによって行われた要求を区別する必要があります。 ただし、実装上の欠陥があるため、ユーザーのセキュリティ コンテキスト内のすべての要求が処理されます。 その結果、ユーザーが Web ページを参照したり、スクリプトを含む HTML 電子メールを開いたりした場合、そのスクリプトはユーザーとして Web ベースのリソースにアクセスできます。

攻撃者がこの脆弱性を介して実行できる具体的なアクションは、ユーザーが利用できる Web ベースのリソースと、そのユーザーに対するユーザーの特権によって異なります。 ただし、攻撃者は少なくともユーザーのイントラネットを閲覧し、Web ベースの電子メールにもアクセスする可能性があります。

軽減要因:

  • 攻撃者は、サーバー名、フォルダー構造、その他のユーザーおよびネットワーク固有の情報など、攻撃を成功させるために重要な内部情報を所有する必要があります。 したがって、この脆弱性はインサイダー攻撃の一部として使用される可能性が最も高くなります。
  • WebDAV 要求が認証される方法により、スタンドアロン コンピューターに対してこの脆弱性を悪用することはできません。
  • スクリプトが開かれたセキュリティ ゾーンでアクティブスクリプトが無効になっている場合、この脆弱性は悪用されませんでした。

脆弱性識別子:CAN-2001-0238

テスト済みバージョン:

Microsoft は、この脆弱性の影響を受けるかどうかを評価するために、8.103.2519.0 以前の Microsoft Data Access Component Internet Publishing Provider のすべてのバージョンをテストしました。

よく寄せられる質問

この脆弱性の範囲は何ですか?
この脆弱性により、攻撃者は別のユーザーのイントラネット上の情報にアクセスする可能性があります。 具体的には、攻撃者が特定の Web ページにアクセスしたり、特定の HTML 電子メールを開いたりするようにユーザーを誘導したりした場合、ユーザー自身が読み取り、変更、追加する権限を持つデータを読み取り、変更、または追加する能力を得ることができます。
この脆弱性の悪用は困難です。 攻撃者は、それを悪用するために、ユーザーとそのネットワークに関する重要な内部知識を持っている必要があります。 実際、ほとんどの場合、内部関係者のみがこの脆弱性を悪用する可能性があります。

この脆弱性の原因は何ですか?
この脆弱性は、Web ベースのリソースへのリモート アクセスを有効にするために使用されるコンポーネントが doメイン 制限を適切に適用しないために発生します。 Web サイトまたは HTML メールの HTML コードがブラウザー内で実行された場合、ユーザーのセキュリティ コンテキストを使用して要求が課金される可能性があります。

ここで問題となるコンポーネントは何ですか?
コンポーネントの名前は、Microsoft Data Access Component Internet Publishing Provider です。 その役割は、WebDAV (Web 分散作成とバージョン管理) をサポートすることです。

WebDAV とは
WebDAV は、インターネットベースの共有ファイル システムを使用して複数のユーザーがドキュメントで共同作業できるようにするインターネット標準です。 ドキュメントに対して競合する変更が加えられた場合のファイル アクセス許可、オフライン編集、ファイルの整合性、競合の解決などの問題に対処します。 WebDAV は、共有ファイルを格納するための中心的な場所としてインターネットまたはイントラネットを使用して、組織のインフラストラクチャを拡張します。

プロバイダーはどの製品に出荷されますか?
WebDAV をサポートしており、WebDAV は Microsoft 製品によって提供される多くの Web ベースのコラボレーション機能の背後にある基盤となるテクノロジであるため、プロバイダーはさまざまな Microsoft 製品によってインストールされます。 これは Windows Me と Windows 2000 の一部として提供され、最新バージョンの Office や他の Microsoft 製品でもインストールできます。 以下では、影響を受けるバージョンがコンピューターにインストールされているかどうかを確認する方法について説明します。

プロバイダーの問題
プロバイダーは、WebDAV 要求のソースを認識し、それに応じて実行されるアクションを規制する必要があります。 特に、スクリプトによって課金される要求は、ユーザーによって課金される要求とは異なる方法で処理する必要があります。

スクリプトを使用して要求が課金される場合、要求を異なる方法で処理する必要があるのはなぜですか?
スクリプトは、Web サイトや HTML 電子メールなどの外部ソースから送信された場合でも、ローカル コンピューター上で実行されます。 たとえば、Javascript を含む Web ページにアクセスすると、スクリプトがコンピューターにダウンロードされ、ローカルで実行されます。 しかし、明らかに、そのようなスクリプトは、ユーザーに代わって任意のアクションを実行することはできません。
一般に、ブラウザーは、スクリプトがソースを指定した場合にのみ適切なアクションを実行できることを保証します。 スクリプトは、仕様上、WebDAV 要求を課すことができますが、もちろん、実行できるアクションに関して厳しく規制する必要があります。 この脆弱性は、プロバイダーがこれらのアクションを適切に規制せず、外部ソースからのスクリプトではなく、ユーザー自身が要求したかのように実行するためです。

この脆弱性により、攻撃者は何を実行できるでしょうか。
攻撃者が、スクリプトを含む Web ページまたは HTML 電子メールを開くようユーザーを誘導する可能性がある場合、そのユーザーとして WebDAV 要求を行う可能性があります。 これにより、ユーザー自身が WebDAV 経由で実行できる任意のアクションを実行できるようになります。

ユーザーが通常 WebDAV を介して実行できるアクションの種類は何ですか?
使用可能な Web ベースのリソースの数とユーザーの特権によって、システムによって異なります。 ただし、少なくとも、これにより、スクリプトがユーザーとしてイントラネット サイトにアクセスしたり、Web ベースのメールにアクセスしたりできる可能性があります。

この脆弱性はどのくらい簡単に悪用されますか?
攻撃者が自分の Web ページまたは HTML 電子メールからスクリプトを実行するようにユーザーを説得できるとしても、この脆弱性を悪用することは困難な作業です。 攻撃者は、リソースを悪用するサーバーの正確な名前と、フォルダー構造を知る必要があります。 また、要求を適切に作成するために、ユーザーに関する情報が必要になる可能性もあります。 攻撃者が必要とするサイト固有の知識の量のため、攻撃者は不満を持つ従業員などの内部関係者である必要がある可能性があります。

脆弱性が悪用される方法に関する他の制限はありますか?
はい。 WebDAV 要求の認証方法により、この脆弱性はワークグループまたは doメイン メンバーであるマシンに対してのみ悪用される可能性があります。 スタンドアロンマシンで悪用することはできませんでした。

パッチは何をしますか?
この修正プログラムは、スクリプトを使用して行うことができる WebDAV 要求をプロバイダーが制限することにより、この脆弱性を排除します。 具体的には、プロバイダーは、特定の Web サイトと、そのサイト内のフォルダーに代わってスクリプトが要求を送信することのみを許可します。

操作方法パッチが必要かどうかを知っていますか?
最も簡単な方法は、プロバイダーのバージョン番号をチェックすることです。 バージョン番号を確認するには、次の手順に従います。

  1. スタート メニューで、[検索]、[ファイルまたはフォルダー] の順に選択します。
  2. [検索] フィールドに「msdaipp.dll」と入力し、[今すぐ検索] ボタンをクリックします。
  3. msdaipp.dllがコンピューターに存在しない場合、この脆弱性の影響を受けず、修正プログラムは必要ありません。
  4. コンピューターにmsdaipp.dllが存在する場合は、検索ウィンドウでファイルを右クリックし、[プロパティ]、[バージョン] の順に選択します。 次の表を参照して、この脆弱性のバージョンがあるかどうかを確認してください。
バージョン番号 状態
8.102.1403.0 Affected
8.103.2402.0 Affected
8.103.2519.0 Affected
その他のすべてのバージョン 影響

プロバイダーは、いくつかの Microsoft 製品の一部として出荷されているという。 パッチを適用し、後で脆弱なバージョンのプロバイダーをインストールする製品をインストールする場合、パッチを再インストールする必要がありますか?
いいえ。 Microsoft 製品はバージョン番号を考慮し、上位のバージョンを下位バージョンで上書きしません。 パッチをインストールした場合、他の製品では脆弱なバージョンに戻しません。

パッチの可用性

このパッチのダウンロード場所

このパッチに関する追加情報
インストール プラットフォーム:

このパッチは、次のいずれかのプラットフォームにインストールできます。

  • Windows 95
  • Windows 98
  • Windows 98 Second Edition
  • Windows Me
  • Windows NT 4.0 Workstation Service Pack 6a.
  • Windows NT 4.0 Server and Server、Enterprise Edition、 Service Pack 6a
  • Windows NT 4.0 Server、ターミナル サーバー エディション、 Service Pack 6
  • Windows 2000 Professional、Server、Advanced Server、または Datacenter Server。Gold バージョン、Service Pack 1または今後の Service Pack 2 を実行する場合。

今後のサービス パックに含める:

この問題の修正プログラムは、Windows 2000 Service Pack 4 と Windows XP に含まれます。 さらに、Microsoft Data Access Component Internet Publishing Provider を出荷するその他の製品は、次のバージョンまたはサービス パックで修正されたバージョンを出荷します。

置き換えられたパッチ:

なし。

修正プログラムのインストールの確認:

コンピューターに修正プログラムがインストールされていることを確認するには、msdaipp.dllのバージョン番号が、「修正プログラムが必要かどうかを確認操作方法」という FAQ のセクションに記載されている 3 つの影響を受けるバージョン番号の 1 つでなくなったことを確認します。

注意事項:

なし

ローカライズ:

このパッチは、影響を受けるプラットフォームのすべての言語バージョンで使用する場合に適しています。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

  • セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
  • パッチは、WindowsUpdate Web サイトから入手することもできます

その他の情報:
サポート:

  • マイクロソフト サポート技術情報の記事Q296441この問題について説明し、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります
  • テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2001 年 4 月 18 日): セキュリティ情報が作成されました。
  • V1.1 (2002 年 8 月 12 日): エラーを修正するために更新され、この修正プログラムが Windows 2000 Service Pack 4 で提供されることを示します。
  • V1.2 (2003 年 6 月 23 日): Windows Update のダウンロード リンクを更新しました。

ビルド日: 2014-04-18T13:49:36Z-07:00