マイクロソフト セキュリティ情報 MS03-016
BizTalk Server 用の累積的な修正プログラム (815206)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Microsoft BizTalk Server 2000 および BizTalk Server 2002 を使用しているシステム管理者
脆弱性の影響 :
2 つの脆弱性があります。最も深刻な脆弱性については、攻撃者が選択したコードが実行される可能性があります。
最大深刻度 :
重要
推奨する対応策 :
Microsoft BizTalk を使用しているシステム管理者はこの更新プログラムの適用を検討して下さい。
影響を受けるソフトウェア :
- Microsoft BizTalk Server 2000
- Microsoft BizTalk Server 2002
詳細
問題
技術的な説明 :
Microsoft BizTalk Server はエンタープライズ統合製品で、これにより、組織がアプリケーション、取引先およびビジネス プロセスを統合することができます。BizTalk は、エクストラネット環境が構成されたメッセージを取引先と交換するために、また、イントラネット環境で異なるバックエンド システム間でビジネス文書を転送するために使用されます。この更新プログラムは BizTalk Server に存在する新たに報告された 2 つの脆弱性を解決します。
1 番目の脆弱性は Microsoft BizTalk Server 2002 にのみ影響を及ぼします。Microsoft BizTalk Server 2002 は HTTP 形式を使用して文書を交換する機能を提供します。HTTP 形式の文書を受け取るために使用されるコンポーネントにバッファ オーバーランが存在し、これにより、BizTalk Server で攻撃者が選択したコードが実行される可能性があります。
2 番目の脆弱性は Microsoft BizTalk Server 2000 および BizTalk Server 2002 の両方に影響を及ぼします。BizTalk Server は管理者が BizTalk ドキュメント トラッキング管理 (DTA) を介し、文書を管理する機能を提供します。DTA により使用されるページのいくつかに SQL インジェクションの脆弱性が存在し、これにより、攻撃者が作成した不正な URL クエリ文字列が正当な DTA の実行ユーザーに送られる可能性があります。ユーザーが攻撃者により送られた URL に移動すると、攻撃者はクエリ文字列に埋め込まれた悪質な SQL ステートメントを実行する可能性があります。
問題を緩和する要素 :
HTTP 受信機能のバッファオーバーラン :
- HTTP 受信機能は Microsoft BizTalk Server 2002 にのみ存在します。BizTalk Server 2000 はこの脆弱性の影響を受けません。
- HTTP 受信機能は既定で有効ではありません。これを有効にするためには、BizTalk サイトのセットアップ時に、受信トランスポートとして明示的に有効にする必要があります。
- 任意のコードを実行するためにこの脆弱性が悪用された場合、コードは IIS のセキュリティ コンテキストで実行されます。IIS がユーザー アカウントで実行されている場合、攻撃者が取得する許可はこのユーザー アカウントが持つ許可に制限されます。
DTA の SQL インジェクション :
- DTA の実行ユーザーは通常、既定でデータベース所有者などの高い権限を持つ SQL ユーザーではありません。この理由は DTA Web インターフェースを使用するためには、“BizTalk Server Report Users” セキュリティ グループのメンバであることのみが必要となるためです。この場合、攻撃者が SQL Server でアクセス許可を取得した場合でも、そのアクセス許可は制限されます。
深刻度 :
| Microsoft BizTalk Server 2000 | 警告 |
| Microsoft BizTalk Server 2002 | 重要 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
脆弱性識別番号 :
- HTTP 受信機能のバッファ オーバーラン : CAN-2003-0117
- DTA の SQL インジェクション : CAN-2003-0118
テストしたバージョン :
マイクロソフトは Microsoft BizTalk Server 2000 および Microsoft BizTalk Server 2002 のテストを行い、これらの脆弱性による影響を評価しました。
よく寄せられる質問
HTTP 受信機能のバッファオーバーラン
どのようなことが起こる可能性がありますか?
これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、IISを異常終了させる、またはシステムの権限で攻撃者の選択したコードを実行する可能性があります。システムの権限でコードが実行されることにより、攻撃者は、システムのデータの追加、削除または変更、ユーザー アカウントの作成、削除など任意の操作を行うことができる可能性があります。
何が原因で起こりますか?
BizTalk Server 2002 HTTP 受信機能に未チェックのバッファが存在するため、この脆弱性が起こります。
BizTalk Server 2002 HTTP 受信機能とは何ですか?
BizTalk Server の主要な機能の 1 つとして、その機能を使用し、バック エンド ビジネス システム間でビジネス文書を転送することがあります。ファイル転送、SMTP、MSMQ などの多くの異なる文書の受信機能 (英語情報) が利用可能です。BizTalk Server 2002 は文書転送プロトコルとして HTTP を使用する機能を導入しました。これは HTTP 受信機能 (ISAPI エクステンションとして実装されています) を使用して有効になります。
HTTP 受信機能は既定で有効ではありません。これを有効にするためには、BizTalk サイトを最初にセットアップする時に明示的に選択する必要があります。
ISAPI エクステンションとは何ですか?
ISAPI (Internet Services Application Programming Interface) とは、開発者が IIS Server により提供される機能を拡張できるようにする機能です。ISAPI エクステンションとは、ISAPI を使用して、IIS により標準で提供される機能のほかに、Web 機能のセットを提供するダイナミック リンク ライブラリ (.dll) です。ユーザーが ISAPI エクステンションで利用可能になる機能の 1 つを使用する必要がある場合、ユーザーはサーバーにリクエストを送ります。ISAPI エクステンションを直接呼び出すことができる場合もありますが、より一般的には、ユーザーはサーバーの処理されるコマンドを含むファイルをリクエストします。ユーザーがこのようなファイルをリクエストすると、IIS は、サーバーの各 ISAPI エクステンションと関連するファイルの拡張子をリストするスクリプト マッピングのテーブルを参照することにより、どの ISAPI エクステンションがファイルを解析するために使用されるかを決定します。
BizTalk Server の何が問題になっていますか?
HTTP 文書を受け取るために使用される BizTalk Server ISAPI エクステンションに問題が存在します。このため、HTTP 受信機能に不正なリクエストが送信されることにより、バッファ オーバーランの状態が起こる可能性があります。
これにより、攻撃者は何ができる可能性がありますか?
この脆弱性により、攻撃者は攻撃者が選択したコードを ISAPIエクステンションをホストしている IIS のセキュリティ コンテキストで実行する可能性があります。既定で IIS 5.0 はユーザー アカウントで実行されます。
攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
攻撃者は HTTP 受信機能に不正なリクエストを送信することにより、この脆弱性を悪用する可能性があります。このリクエストはバッファ オーバーフロー状態を引き起こし、これにより攻撃者はサーバーで攻撃者の選択したコードを実行する可能性があります。
更新プログラムは何を修正しますか?
この更新プログラムは HTTP 受信機能が正しい入力検証チェックを行うようにして、この脆弱性を排除します。
DTA の SQL インジェクション
どのようなことが起こる可能性がありますか?
これは SQL インジェクションの脆弱性です。この脆弱性により、攻撃者は挿入された SQL ステートメントを実行する DTA 実行ユーザーのアクセス許可により、BizTalk SQL データベースでオペレーティング システム コマンドを実行する可能性があります。また、攻撃者は BizTalk SQL データベースで任意の操作を行う可能性もあります。この脆弱性が悪用されるとデータベースが制御される可能性がありますが、攻撃者により取得される可能性のあるものは、オペレーティング システム レベルでの制限された権限のみとなります。
この脆弱性は BizTalk Server 2000 および BizTalk Server 2002 の両方に影響を及ぼします。
何が原因で起こりますか?
BizTalk ドキュメント トラッキング管理 (DTA) Web サイトで使用される Web ページの 1 つで入力パラメータの検証が不完全であるため、この脆弱性が起こります。
BizTalk ドキュメントトラッキング管理 (DTA) Web サイトとは何ですか?
DTA Web サイトとは、管理者が BizTalk サーバーにより処理される文書を追跡および管理 (英語情報) できるようにするために提供される Web サイトです。これにより、BizTalk 管理者は Web ベースのツールを介し、BizTalk 追跡データベースに対して実行されるクエリを作成することができます。
既定で DTA Web サイトは “BizTalk Server Report Users” セキュリティ グループのメンバに制限されます。このデータベースに対しクエリを実行するためには、個々のユーザーは BizTalk SQL データベースで割り当てられた “dta_ui_role” ロールを持っている必要があります。
SQL インジェクションとは何ですか?
シナリオを使用して簡単に、SQL インジェクションを説明します。Web サイトで、訪問者が特定の言葉をオンライン データベースで検索できるアプリケーションをホストしていると仮定します。さらに、そのアプリケーションはユーザーがどのような入力をしても受け入れ、それをデータベース クエリに組み込み、クエリを実行することにより動作するとします。攻撃者はテキストではなく、SQL ステートメントを入力することができる場合があります。この結果、Web アプリケーションがそのクエリを実行すると、攻撃者のコマンドがそのクエリの一部として実行されます。このような脆弱性は SQL インジェクションの脆弱性と呼ばれています。
DTA Web サイトの何が問題になっていますか?
DTA Web サイトの一部であるいくつかの Web ページは正しい入力の検証を行いません。これらの Web ページは URL クエリ文字列から情報を取得し、それを使用してデータベースにクエリを行うため、攻撃者は不正な URL クエリ文字列を正当な DTA 実行ユーザーに送り、そのユーザーがその URL に移動すると、クエリ文字列の攻撃者の組み込まれた悪質な SQL ステートメントがデータベースに対し実行される可能性があります。
この脆弱性により、攻撃者は何ができますか?
SQL インジェクションの脆弱性により、攻撃者は BizTalk 追跡データベースに送信されたデータベース クエリを変更する可能性があります。これにより、URL に埋め込まれた悪質な SQL コマンドが攻撃者により挿入され、これがデータベースに渡される可能性があります。
どのようなコマンドがオペレーティングシステムに渡される可能性がありますか?
オペレーティング システムに渡される可能性のあるコマンドのレベルは SQL データベース をホストするサーバーで DTA 実行ユーザーが持つアクセス許可のレベルに比例します。DTA 実行ユーザーは通常、高い権限を持つユーザーではありません。この理由は、これらのユーザーが DTA Web インターフェースを使用するためには、“BizTalk Server Report Users” のセキュリティ グループのメンバであることのみが必要条件であるからです。このため、多くの場合、ユーザーは SQL Server に対し、非常に制限されたアクセス許可のみを持ちます。
しかし、ユーザーが SQL データベースのシステム管理者である場合、攻撃者はそのユーザーと同じレベルのアクセス許可を取得します。これにより、攻撃者がオペレーティング システムでコマンドを実行できる可能性があります。
誰がこの脆弱性を悪用する可能性がありますか?
DTA Web サイトに悪質な SQL ステートメントを含む URL クエリを作成できる人物であれば、誰でもこの脆弱性を悪用できる可能性がありますが、攻撃が行われるには、このクエリ文字列は DTA 実行ユーザーにより実行されることが必要条件となります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
攻撃者は不正な URL を作成し、それをユーザーに送る、または Web サイトにホストすることにより、この脆弱性を悪用する可能性があります。ユーザーがその URL に移動すると、その URL に含まれる SQL が DTA Web サイトの影響を受ける Web ページに挿入される可能性があります。
攻撃者は単に BizTalk Server から Webページをコピーし、BizTalk 追跡データベースに対しそれを実行することはできますか?
いいえ、できません。この理由は攻撃には DTA Web サイトが実行されている IIS を BizTalk 追跡 SQL データベースに接続するために使用されるセキュリティ情報の知識が必要とされます。攻撃者は SQL データベースの既存のアクセス許可を持つなど IIS へのアクセス許可を与えられていない限り、この情報へのアクセスを取得することはできません。
更新プログラムは何を修正しますか?
この更新プログラムは DTA Web サイトの影響を受ける Web ページが正しい入力検証チェックを行うようにします。
更新プログラム
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
- Microsoft BizTalk Server 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyID=001e93e4-0e6e-4289-aefe-9161d2e5af97&DisplayLang=ja - Microsoft BizTalk Server 2002:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a05344fe-2622-4887-aa45-3de7c4ed3c75&DisplayLang=ja
本セキュリティ更新プログラムのインストール手順は、サポート技術情報 815208 をご覧ください。
更新プログラムに関する追加情報
対象プラットフォーム :
この更新プログラムは BizTalk Server 2002 および BizTalk Server 2000 Service Pack 2 を実行しているシステムにインストールすることができます。
この修正を含む予定のサービスパック :
この問題に対する更新プログラムは BizTalk Server 2002 用の Service Pack 1 および BizTalk Server 2000 用の Service Pack 3 に含まれる予定です。
再起動の必要性 :
- BizTalk Server 2000 : なし
- BizTalk Server 2002 : なし。ただし、交換されているファイルが開いている場合、そのファイルが安全に更新されるように、システムの再起動を求めるメッセージが表示されます。
更新プログラムのアンインストール :
可
更新プログラムに含まれる過去の修正 :
なし
更新プログラムが正しくインストールされたかどうか確認する方法 :
- BizTalk Server 2000:
- この更新プログラムが正しくインストールされたことを確認するためには、サポート技術情報 815207 の更新プログラム欄にある日付/タイム スタンプを参照し、各ファイルを確認して下さい。
- BizTalk Server 2002 :
- 各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft BizTalk Server 2002\SP1\815208\FileList
- 各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。
警告 :
BizTalk 2002 :
Biztalkhttpreceive.dll ファイルは BizTalk HTTP 受信機能の ISAPI フィルタですが、このファイルは追加の仮想ディレクトリなど、既定以外の場所に移動することができます。この詳細は次の MSDN サイトに説明されています。
http://msdn2.microsoft.com/en-us/library/ms936086 (英語情報)
システムがこのように構成されている場合、マイクロソフト サポート技術情報 815208 で説明されているように、Biztalkhttpreceive.dll の新しいバージョンをこれらの追加の場所にコピーする必要があります。
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
- 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。
謝辞 :
この問題を連絡し、顧客の保護に協力して下さった Cesar Cerrudo 氏 に対し、マイクロソフトは深い謝意を表します。
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS03-016)
http://www.microsoft.com/technet/security/bulletin/ms03-016.mspx - サポート技術情報 (KB) 文書番号 : 815206
[MS03-016] BizTalk Server 用の累積的な修正プログラム
更新履歴 :
- 2003/5/1: このセキュリティ情報ページを公開しました。
- 2003/5/2: この問題に対するマイクロソフト サポート技術情報 815206、815207 および 815208 の日本語版を公開しました。
- 2003/6/16: 「絵でみるセキュリティ情報」 へのリンクを追加しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。