マイクロソフト セキュリティ情報 MS03-018

技術的な説明 :
これは累積的な更新プログラムで、Windows NT 4.0 Service Pack 6a 以降にリリースされた Internet Information Server 4.0 用のすべての更新プログラムおよび現在までにリリースされた Internet Information Services 5.0 および 5.1 用のすべての更新プログラムの機能を含みます。この累積的な更新プログラムに含まれる更新プログラムの一覧については、下記の 「更新プログラムの追加情報」 の欄をご覧ください。

この累積的な更新プログラムには、以前にリリースされたすべての更新プログラムのほかに、新たに確認された Internet Information Server 4.0 、Internet Information Services 5.0 および 5.1 に影響を及ぼす次のセキュリティ上の脆弱性に対する修正も含まれます。

• Internet Information Server 4.0、Internet Information Services 5.0 および 5.1 に影響を及ぼすクロスサイト スクリプティング (CSS) の脆弱性。この脆弱性はリクエストされた URL がリダイレクトされたことを表示するエラー メッセージに関連します。攻撃者はユーザーに攻撃者の Web サイトにあるリンクをクリックするよう誘導し、スクリプトを含むリクエストを IIS を実行する第三者の Web サイトに中継する可能性があります。これにより、第三者の Web サイトの応答 (依然としてスクリプトを含んでいます) をユーザーに送る可能性があります。次にそのスクリプトは攻撃者の Web サイトではなく、第三者の Web サイトのセキュリティ設定を使用してレンダリングします。
• バッファ オーバーランの脆弱性。この脆弱性は Internet Information Services 5.0 がサーバー側インクルードと呼ばれる Web ページの特定の種類へのリクエストを正しく検証しないために起こります。この脆弱性が悪用されるには、攻撃者にとって、影響を受ける Internet Information Services サーバーにサーバー側インクルード ページをアップロードすることが必要条件となります。次に攻撃者がこのページをリクエストすると、バッファ オーバーランが起こり、これにより、攻撃者の任意のコードがシステム レベルのアクセス許可で実行される可能性があります。
• サービス拒否の脆弱性。この脆弱性は Internet Information Server 4.0 および Internet Information Services 5.0 が Web クライアントに戻されるヘッダーを作成する時にメモリのリクエストを割り当てる方法に問題が存在するために起こります。この脆弱性が悪用されるには、攻撃者は影響を受ける IIS サーバーに ASP ページをアップロードすることが必要条件となります。攻撃者がこの ASP ページを呼び出すと、呼び出しを行っている Web クライアントに極端に大きいヘッダーが戻される可能性があります。この場合、IIS は使用可能なメモリの量を制限しないため、IIS が異常終了し、その結果、ローカル メモリが使い果たされる可能性があります。
• サービス拒否の脆弱性。この脆弱性は過度に長い WebDAV リクエストが Internet Information Services 5.0 および 5.1 に渡される場合、エラー状態が正しく処理されないために起こります。その結果、攻撃者は Internet Information Services を異常終了させる可能性があります。しかし、異常終了後、Internet Information Services 5.0 および 5.1 は既定で直ちに再起動します。

この累積的な更新プログラムに関連する依存性があります。この累積的な更新プログラムはマイクロソフト セキュリティ情報 MS02-050 で提供された更新プログラムの適用を必要とします。この累積的な更新プログラムがインストールされ、MS02-050 の更新プログラムがインストールされていない場合、クライアント側の証明書は拒否されます。この機能は MS02-050 の更新プログラムをインストールすることにより、復元します。

問題を緩和する要素 :
リダイレクトのクロスサイト スクリプティング :

• Internet Information Services 6.0 は影響を受けません。
• 攻撃者がユーザーに Web ページを訪問し、その Web サイトのリンクをクリックする、または HTML 形式の電子メールを開くよう誘導しない限り、この脆弱性は悪用されることはありません。
• 攻撃の標的となるページは ASP ページです。このページは Response.Redirect を使用し、現在のリクエストの受信 URL に基づく新しい URL にクライアントをリダイレクトします。

サーバー側インクルード Web ページのバッファ オーバーラン

• Internet Information Server 4.0、Internet Information Services 5.1 および Internet Information Services 6.0 はこの脆弱性の影響を受けません。
• IIS Lockdown Wizard ツールは既定で ssinc.dll マッピングを無効にし、これにより、この攻撃が阻止されます。
• 攻撃者にとって、IIS サーバーにファイルをアップロードすることが必要条件となります。

ASP ヘッダーのサービス拒否

• 攻撃者にとって、IIS サーバーにファイルをアップロードすることが必要条件となります。
• Internet Information Services 5.0 は異常終了後、自動的に再起動します。
• Internet Information Services 5.1 および Internet Information Services 6.0 は影響を受けません。

WebDAV のサービス拒否

• Internet Information Services 6.0 は影響を受けません。
• Internet Information Services 5.0 および 5.1 は異常終了後、自動的に再起動します。
• IIS Lockdown Wizard ツールは WebDAV を既定で無効にし、これにより、この攻撃が阻止されます。

深刻度 :
リダイレクトのクロスサイト スクリプティング

サーバー側インクルード Web ページのバッファ オーバーラン

ASP ヘッダーのサービス拒否

WebDAV のサービス拒否

すべての脆弱性の総合的な深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
リダイレクトのクロスサイト スクリプティング : CAN-2003-0223
サーバー側インクルード Web ページのバッファ オーバーラン : CAN-2003-0224
ASP ヘッダーのサービス拒否 : CAN-2003-0225
WebDAV のサービス拒否 : CAN-2003-0226

テストしたバージョン :
マイクロソフトは Internet Information Server 4.0、Internet Information Services 5.0、5.1 および 6.0 のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、これらの脆弱性による影響は不明です。

どの Windows のバージョンが Internet Information Services 6.0 を同梱していますか?

Internet Information Services 6.0 は Windows Server 2003 に同梱されています。これはこのセキュリティ情報で説明されているどの脆弱性の影響も受けません。

リダイレクトのクロスサイトスクリプティング (CAN-2003-0223) どのようなことが起こる可能性がありますか?

これはクロスサイト スクリプティングの脆弱性です。これにより、攻撃者は影響を受けるサーバーにリクエストを送り、別のユーザーにスクリプトを含む Web ページを送る可能性があります。このスクリプトはユーザーのブラウザで、第三者の Web サイトからのものであるかのように実行されます。これにより、スクリプトは第三者の Web サイトに適切なセキュリティ設定を使用して実行され、また、攻撃者はその Web サイトに属すデータにアクセスできる可能性があります。この脆弱性は、ユーザーが HTML 形式の電子メールを開く、または悪意のあるユーザーの Web サイトを訪問しない限り悪用されません。コードは既存のセッションに「挿入」されません。

リダイレクトとは何ですか?

リダイレクトとは、Web ブラウザが、存在しない Web ページへのリクエストを行い、Web サーバーがブラウザを一般的なエラー ページまたはその Web サイトのホームページにリダイレクトする時に起こります。たとえば、http://microsoft.com/xp という Web ページが存在しない場合、エラーが表示される代わりに Web サーバーはサイト マップを提供するとともに、ユーザーが探している可能性のあるページを示すページへブラウザをリダイレクトします。このプロセスをリダイレクトと呼びます。

クロスサイトスクリプティングとは何ですか?

クロスサイト スクリプティング (CSS) とはセキュリティ上の脆弱性で、これにより悪意のあるユーザーはそのほかのユーザーの Web サイトとのセッションにコードを「挿入」する可能性があります。ほとんどのセキュリティ上の脆弱性とは異なり、CSS は単一のベンダーの製品に当てはまるものではありません。これは Web サーバーで実行されるすべてのソフトウェアに影響を及ぼしますが、防御のためのプログラミング対策の結果からは生じません。

CSS とはどのような仕組みなのですか?

クロスサイト スクリプティングのセキュリティ問題 概要およびよく寄せられる質問で説明されています。しかし、CSS がどのように機能するかに関する高レベルな詳細について、ここで説明します。Web サイト A が検索機能を提供しており、これによりユーザーが検索したい語句を入力することができるとします。ユーザーが検索語句として “banana” と入力した場合、その Web サイトは語句を検索し、「“banana” という語句は見つかりませんでした。」と表示する Web ページを生成します。この Web ページはユーザーのブラウザに送信され、ブラウザはその Web ページを解析し、表示します。次に、検索語句として “banana” を入力する代わりに、ユーザーは “banana <SCRIPT> <Alert(‘Hello’);> </SCRIPT>” のように入力するとします。検索機能が提供された検索語句が何であっても、それを使用するように書かれている場合、その文字列全体を検索し、「“banana <SCRIPT> <Alert(‘Hello’);> </SCRIPT>” という語句は見つかりませんでした。」と表示する Web ページを作成します。しかし、“<SCRIPT>” で始まり、“</SCRIPT>” で終わるすべてのテキストは実際にはプログラム コードであり、その Web ページが処理されると、“Hello” というダイアログ ボックスがユーザーのブラウザにより表示されます。

ここまでの例で、ユーザーがコードを Web サーバーから「中継」し、それを自分のコンピュータで実行する方法について示しました。これはセキュリティ上の脆弱性ではありません。しかし、悪意のある Web サイト管理者は自分の Web サイトを訪問するユーザーのコンピュータでこの脆弱性を悪用し、実行する可能性があります。Web サイト B が悪意のあるユーザーにより運営されているとします。悪意のあるユーザーが自分の Web サイトをユーザーに訪問させ、ハイパーリンクをクリックするように誘導する場合、Web サイト B は Web サイト A に接続し、検索ページに悪質なスクリプトを入力し、それをユーザーの代わりに送信する可能性があります。結果のページがユーザーに返され、 (そのユーザーはハイパーリンクをクリックしたため、要求者となります。) ユーザーのコンピュータで処理されます。

スクリプトはユーザーのコンピュータで何をする可能性がありますか?

Web サイト B (攻撃者の Web サイト) からのスクリプトはユーザーのコンピュータで Web サイト A からのものであるかのように実行されます。実際には、これには 2 つの意味があります。Web サイト A に対し適切であるユーザーのコンピュータのセキュリティ設定を使用して実行されます。

Web サイト B からのスクリプトは Cookie および Web サイト A に属すユーザーのシステムのデータにアクセスすることができます。

何が原因で起こりますか?

リダイレクトを行う ASP 機能が HTML テキスト内の URL を適切にエンコードせずに表示するため、この脆弱性が起こります。

IIS のリダイレクトの何が問題になっていますか?

リダイレクトを行う ASP 機能は HTML テキストで表示される URL を正しくエンコードしません。このため、リダイレクション リクエストにスクリプトを埋め込み、これを Web ブラウザに戻すことができる可能性があります。

この脆弱性により、攻撃者は何ができますか?

この脆弱性により、攻撃者は Web サイトを運営し、ユーザーにその Web サイトにあるリンクをクリックするよう誘導する可能性があります。これにより、IIS を実行している別の Web サイトを介し、クロスサイト スクリプティング攻撃を行う可能性があります。上記で説明したように、これにより、攻撃者はそのほかの Web サイト (IIS を実行している Web サイト) のセキュリティ設定を使用し、ユーザーのブラウザでスクリプトを実行し、その Web サイトに属す Cookie およびデータにアクセスする可能性があります。しかし、ほとんどのブラウザは自動的にリダイレクト応答ヘッダーに従い、HTML テキストをスキップします。この場合、クライアントは影響を受けません。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

この脆弱性が悪用されるには、攻撃者にとって、Web ページをホストし、ユーザーにその Web ページ内のリンクをクリックするよう誘導すること、またはユーザーに電子メールで URL を送ることが必要条件となります。この URL にはスクリプトが含まれている必要があります。また、影響を受ける IIS サーバーの存在しない Web ページをポイントする必要があります。IIS リダイレクト機能が存在しない Web ページのリダイレクトを処理する時、攻撃者のスクリプトがブラウザに渡されます。

攻撃のポイントは攻撃者が Web サイトのセキュリティ設定を使用するユーザーのブラウザでスクリプトを実行するとのことでしたが、これにより、攻撃者は具体的にどのようなことができるようになりますか?

攻撃者の Web サイトおよびユーザーの Web サイトが属しているセキュリティ ゾーンに基づき、Web サイトにより異なります。

両方の Web サイトが同じゾーンに属している場合 (ユーザーが移動しない限り、既定ですべての Web サイトがインターネット ゾーンに存在します)、これらは全く同じセキュリティ制限の対象となり、攻撃者はこの脆弱性を悪用しても、何も取得できません。

ユーザーが攻撃者の Web サイトを、訪問している Web サイトよりも制限の多いゾーンに設定している場合、攻撃者のスクリプトはその Web サイトからのスクリプトに可能なすべての操作を実行することができます。

ユーザーが訪問する Web サイトを攻撃者の Web サイトよりも制限の多いゾーンに設定している場合、攻撃者は実質的に攻撃能力を失います。

しかし、セキュリティ設定に関わらず、攻撃者のスクリプトは常に Cookie および第三者の Web サイトに属すユーザーのシステムのデータにアクセスすることができることに注意して下さい。ブラウザが認識する限りでは、攻撃者は第三者の Web サイトであるからです。

この累積的な更新プログラムはどのようにこの脆弱性を排除しますか?

この累積的な更新プログラムは IIS のリダイレクト リクエスト中、スクリプトが渡されないようにすることにより、この脆弱性を排除します。

SSINC のバッファオーバーラン (CAN-2003-0224) どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。これにより、IIS サーバーでシステム レベルのアクセス許可で攻撃者の選択したコードが実行される可能性があります。

何が原因で起こりますか?

IIS が .shtml、.stm および .shtm ファイルなどのサーバー側インクルード (SSINC) ページへのリクエストに応答する時、正しくパラメータをチェックしないため、この脆弱性が起こります。

IIS が静的な Web ページへのリクエストに応答する方法の何が問題になっていますか?

静的な Web ページをサービスするコンポーネントに問題が存在します。このコンポーネントは渡されたリクエストを正しく検証しないため、過度に長いリクエストが渡されると、バッファ オーバーランの状態が起こります。

この脆弱性により、攻撃者は何ができますか?

この脆弱性により、攻撃者は IIS サーバーでシステム レベルの権限で攻撃者の選択したコードを実行する可能性があります。しかし、これを行うには、攻撃者にとって、まず IIS サーバーに SSINC Web ページを読み込ませることが必要条件となります。

IIS Lockdown Wizard ツールはこの攻撃を阻止しますか?

はい。既定で、IIS Lockdown Wizard ツールは SSINC スクリプト マップを削除します。

この攻撃により、攻撃者がユーザーレベルのアクセス許可を取得することに何の意味がありますか?

既定で、影響を受けるコンポーネントはシステム アカウントではなく、ユーザー アカウントで動作します。このユーザー アカウントはサーバーでシステム アカウントよりもはるかに低い権限を持ちます。たとえば、ユーザー アカウントはそのほかのユーザー アカウントの追加や削除、またサービスの再起動はできません。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は特別に名前が付けられた SHTML Web ページを IIS サーバーにアップロードすることにより、この脆弱性を悪用する可能性があります。攻撃者にとって、これを実行する明示的なアクセス許可が必要となります。また、攻撃者は Web サーバーのディレクトリ構成を知っていることが必要条件となります。そして、攻撃者がこの Web ページをリクエストすると、バッファ オーバーランが起こり、これにより、攻撃者の選択したコードが実行される可能性があります。

この累積的な更新プログラムは何を修正しますか?

この累積的な更新プログラムは影響を受ける IIS コンポーネントが、渡される入力を正しく検証するようにして、この脆弱性を排除します。

ASP ヘッダーのサービス拒否 (CAN-2003-0225) どのようなことが起こる可能性がありますか?

これはサービス拒否の脆弱性です。これにより、攻撃者は IIS を異常終了させる可能性があります。Internet Information Services 5.0 は自動的に再起動します。Internet Information Server 4.0 は手動で再起動する必要があります。

何が原因で起こりますか?

ASP 機能の Response.AddHeader がブラウザに戻されるヘッダーのサイズを制限しないため、この脆弱性が起こります。この結果、悪質な ASP ページが IIS に利用可能なメモリを超過する過度に大きなヘッダーを生成し、これにより IIS が異常終了する可能性があります。

IIS によりヘッダーが生成される方法の何が問題になっていますか?

この問題は IIS が実際にヘッダーを生成する方法に存在するのではなく、IIS が生成可能なヘッダーのサイズを制限しないという事実にあります。そのため、IIS が利用できるメモリを使い切るほどのサイズのヘッダーが生成され、その結果 IIS が異常終了する可能性があります。

この脆弱性により、攻撃者は何ができますか?

これにより、攻撃者は IIS を異常終了させ、Web ページへのサービスを停止させる可能性があります。Internet Information Services 5.0 は自動的に再起動するため、サービス拒否は一時的な攻撃にとどまります。Internet Information Server 4.0 は手動で再起動する必要があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者にとって、悪質な ASP ファイルを IIS サーバーにアップロードすることが必要条件となります。この悪質な ASP はコードを含み、Web ページがリクエストされると、過度に大きいヘッダーを生成します。次に攻撃者が Web ページをリクエストすると、コードが実行され、リクエストを完了させるために過度のメモリが必要とされるため、IIS が異常終了する可能性があります。

この脆弱性を悪用した攻撃が行われるには、攻撃者はサーバーに ASP ファイルをアップロードするアクセス許可を所有していることが必要条件となります。

この累積的な更新プログラムは何を修正しますか?

この累積的な更新プログラムは生成される戻されるヘッダーのサイズを制限します。

WebDAV のサービス拒否 (CAN-2003-0226) どのようなことが起こる可能性がありますか?

これはサービス拒否の脆弱性です。これにより、攻撃は Internet Information Services 5.0 および 5.1 で一時的なサービス拒否を起こす可能性があります。

何が原因で起こりますか?

XML コマンドを含む、過度に長い WebDAV リクエストが処理される方法に問題が存在するため、この脆弱性が起こります。この問題はエラー処理シーケンスが、特定の種類の XML エラーを処理する時、順序が不正になることが原因です。これにより、Internet Information Services が異常終了します。

WebDAV エラーが処理される方法の何が問題になっていますか?

過度に長い WebDAV リクエストが XML リクエストのエラー処理を違う順番にする可能性があります。これにより、Internet Information Services が異常終了しますが、Internet Information Services 5.0 および 5.1 の両方とも、自動的に再起動します。

この脆弱性により、攻撃者は何ができますか?

これにより、攻撃者は Internet Information Services 5.0 または 5.1 を異常終了させ、Web ページのサービスを停止させる可能性があります。Internet Information Services 5.0 および 5.1 は自動的に再起動します。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は、不正な XML データを含む過度に長い WebDAV リクエストを Internet Information Services 5.0 または 5.1 Web サーバーに送ることにより、この脆弱性を悪用する可能性があります。これにより、不正な XML データのエラー処理は違う順序となり、Internet Information Services が異常終了する可能性があります。

この累積的な更新プログラムは何を修正しますか?

この累積的な更新プログラムは、不正な XML データが処理される時、正しいエラー処理シーケンスを適用することにより、この脆弱性を修正します。

この累積的な更新プログラムにはそのほかの更新プログラムとの依存性はありますか?

はい、あります。この累積的な更新プログラムは、マイクロソフト セキュリティ情報 MS02-050 で提供された更新プログラムがインストールされていることを必要とします。この IIS 用の累積的な更新プログラムがインストールされ、MS02-050 の更新プログラムがインストールされていない場合、クライアント側の証明書が拒否されます。この機能はこの IIS 用の累積的な更新プログラムをインストールする前、またはインストールした後に MS02-050 の更新プログラムをインストールすることにより、復元することができます。

この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。

• IIS 4.0:
  すべての言語
• IIS 5.0:
  この問題に対する修正は Windows 2000 Service Pack 4 以降に含まれています。Windows 2000 日本語版の最新の Service Pack は、以下の Web サイトから入手できます。
  http://www.microsoft.com/japan/windows2000/downloads/
  
  なお、個別の更新プログラムは以下の Web サイトから入手できます。
  すべての言語
• IIS 5.1:
  32-bit 版
  
  64-bit 版

このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。

Microsoft Update の利用方法については以下のサイトを参照してください。

• Microsoft Update 利用の手順
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx