マイクロソフト セキュリティ情報 MS03-019

技術的な説明 :
5 月28 日に、深刻度を警告でセキュリティ情報を公開しました。しかし、公開後に、攻撃者がこの脆弱性を悪用することで、任意のコードが実行される可能性がある事がわかりました。そのため、脆弱性の深刻度を重要とし、セキュリティ情報を修正いたしました。また、セキュリティ更新プログラムへの変更はありません。すでに適用済みのお客様は、再適用の必要はありません。

Microsoft Windows Media サービス 4.1 は、Microsoft Windows 2000 Server、Advanced Server、および Datacenter Server において、ストリーミングメディアサーバー機能としてサービスが提供されており、Windows NT 4.0 Server ではダウンロードしてインストールすることによって入手可能な機能になります。Windows Media サービス 4.1 には、ネットワーク上のクライアントにメディア コンテンツを配信する、マルチキャスト配信の機能がサポートされています。Windows Media サービス 4.1 におけるマルチキャスト配信は、ストリームデータを受信するクライアントとは直接接続されないため、そのクライアントの接続に関する情報を知ることができません。Windows Media サービス 4.1 はクライアントの接続に関するログの記録を行うため、Windows 2000 Server および Windows NT 4.0 Server には、マルチキャスト配信およびユニキャスト配信のためのロギング機能が含まれています。

この機能は、Internet Services Application Programming Interface (ISAPI) エクステンション – nsiislog.dll として実装されています。Windows Media サービス 4.1 が Windows NT 4.0 Server にインストールされる際、または [アプリケーションの追加と削除] から Windows 2000 Server に追加される際に、nsiislog.dll はサーバー上の Internet Information Server/Services (IIS) スクリプト ディレクトリにインストールされます。

nsiislog.dll が受信するリクエストを処理する方法に問題があります。攻撃者が特別な形式の通信をサーバーに送信し、それにより IIS の異常終了または、サーバー上でコードが実行される可能性があるため、脆弱性が起こります。

Windows Media サービス 4.1 は、Windows 2000 Server には既定でインストールされておらず、サービスとしてインストールする必要があります。また、Windows NT 4.0 Server ではセットアップモジュールを弊社 Windows Media のダウンロードセンターからダウンロードしてインストールする必要があります。攻撃者がこの脆弱性を悪用するには、Windows Media サービス 4.1 がインストールされているコンピュータをネットワーク上で識別し、そのサーバーに対して、ある特定のリクエストを送信することが必要条件となります。

問題を緩和する要素 :

• Windows Media サービス 4.1 は Windows 2000 に既定でインストールされず、Windows NT 4.0 ではダウンロードし、インストールする必要があります。
• Windows Media サービスは Windows 2000 Professional または Windows NT 4.0 Workstation では利用できません。
• 攻撃者がこの脆弱性を悪用するには、Windows Media サービスがインストールされているサーバーを、ネットワーク上で識別することが必要条件となります。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
CAN-2003-0227

テストしたバージョン :
マイクロソフトはWindows NT 4.0、Windows 2000、Windows XP および Windows Server 2003 のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、これらの脆弱性による影響は不明です。

なぜ、このセキュリティ情報の深刻度を変更しましたか？

このセキュリティ情報の公開後に、攻撃者がこの脆弱性を悪用することで、任意のコードが実行される可能性がある事がわかりました。そのため、脆弱性の深刻度を重要とし、セキュリティ情報を修正いたしました。

2003 年 5 月 29 日に公開されたセキュリティ更新プログラムは、脆弱性対策に有効ですか？

有効です。セキュリティ更新プログラムは、変更されておりません。すでに適用済みのお客様は、再適用の必要はありません。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、Windows 2000 Server または Windows NT 4.0 Server 上で任意のコードを実行する可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者はこの脆弱性を悪用し、ある特定のネットワーク リクエストを作成し、ログを記録しているサーバーへ、そのリクエストを送信する可能性があります。攻撃者がこの脆弱性を悪用し、IIS リクエストへのサーバーの応答を停止させるには、ネットワークまたはインターネット上でログを記録しているサーバーを識別することが必要条件となります。

この脆弱性により攻撃者は何ができますか?

この脆弱性により、攻撃者はIIS でストリーミング メディアのログを有効に設定しているコンピュータ上で、任意のコードを実行する可能性があります。IIS を実行している権限 (既定では System) でコード実行が行われ、ローカルシステムに対して任意の操作を行うこと可能です。

何が原因で起こりますか?

ログを記録するために nsiislog.dll ファイルによって使用される未チェックのバッファにより、この脆弱性が起こります。ある特定のリクエストがサーバーに送信された場合、ログ ファイルは、可能なサイズよりも大きなバッファを書き込もうとし、それにより、IIS のログ サービスが異常終了します。IIS ではログ サービスが動作していないと、受信されるリクエストへの応答が行われなくなります。

nsiislog.dll とは何ですか?

nsiislog.dll は Windows 2000 Server、Advanced Server および Windows NT 4.0 Server のWindows Media サービス 4.1 の一部として同梱される、IIS の ISAPI エクステンションで、Windows Media サービスのマルチメディア ストリーミングのログ機能を提供します。

この脆弱性の影響を受ける nsiislog.dll のバージョンの影響が及ぶのは IIS のどのバージョンですか?

この脆弱性の影響を受ける nsiislog.dll のバージョンは、IIS 4.0 および 5.0 にインストールされます。

IIS 4.0 および 5.0 はどの製品に同梱されていますか?

• Internet Information Server 4.0 は、Windows NT 4.0 Option Pack (NTOP) の一部として出荷されます。
• Internet Information Service 5.0 は、Windows 2000 Server、Datacenter Server、Advanced Server、および Professional の一部として出荷されます。

IIS 4.0 および 5.0 は既定で実行されますか?

• IIS 4.0 は Windows NT 4.0 サーバーに NTOP がインストールされる際に既定で実行されます。IIS 4.0 は、NTOP が Windows NT 4.0 Workstation 上にインストールされる際に、Peer Web Services が既に実行されていない限り、既定で実行されません。
• IIS 5.0 は、すべての Windows 2000 サーバー製品上で、既定で実行されます。IIS 5.0 は、Windows 2000 Professional では既定で実行されません。

Microsoft Windows Media サービスとは何ですか?

Windows Media サービス 4.1 は、Windows 2000 Server、Advanced Server、Datacenter Server の1 つの機能で、企業イントラネットおよびインターネット上でストリーミング オーディオおよびビデオ サービスを提供します。また、ダウンロードにより入手可能な Windows Media サービス 4.1 (NT 4.0用) を Windows NT 4.0 にインストールすることもできます。

Windows 2000 Professional または Windows NT 4.0 Workstation に Windows Media サービスをインストールすることはできますか?

いいえ、できません。Windows Media サービス 4.1 は、Windows 2000 Server、Advanced Server および Datacenter Server または Windows NT 4.0 Server などの Microsoft Windows Server オペレーティング システムでのみ利用可能なサービスです。

Windows Media サービスの最小インストール要件に Windows NT 4.0 Workstation とありました。インストールできるのはありませんか？

いいえ、できません。Windows NT 4.0 Workstation では、Windows Media アドミニストレータという管理のための機能のみがインストールされます。今回問題となっている機能はインストールされません。

マルチキャストメディアストリーミングとは何ですか?

マルチキャスト・メディア・ストリーミングは、ネットワークを介してクライアントにメディアコンテンツを配布する方法になります。ストリーミングのユニキャスト配信に対立するものとして、マルチキャスト配信はコンテンツ配布を要求する複数のクライアントへ単一のデータを送り、複数のデータをネットワークを介して送りません。また、コンテンツのデータは、それを望まないクライアントにおいては受信の処理が行なわれません。マルチキャスト・メディア・ストリーミングについてより詳細には、次のウェブサイトを参照してください:

http://www.microsoft.com/japan/windows/windowsmedia/serve/multiwp.aspx

自分のコンピュータが、誰かにマルチキャストストリーミングメディアログ実行の設定をされているかどうかはどのように判断すればよいですか?

マルチキャスト ストリーミング メディア ログの実行の設定がされているか否かは、以下のステップに従って確認してください。

• [スタート] メニューにて、[検索] をクリックします。
• [ファイルやフォルダ...] をクリックします。
• [検索結果] ダイアログ ボックスで、[ファイルまたはフォルダの名前] ボックスに NSIISLOG.DLL と入力します。
• [検索開始] をクリックします。

NSIISLOG.DLL のファイルが、IIS が共有するディレクトリに表示された場合、そのサーバーはマルチキャストストリームのクライアントのログの設定がされていることになります。

更新プログラムは何を修正しますか?

この更新プログラムは、Nsiislog.dll ファイルが適切にリクエストに応答するように修正し、任意のコードが実行される可能性を排除します。

この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。

• Microsoft Windows NT 4.0:
  http://www.microsoft.com/downloads/details.aspx?FamilyId=8D7E3716-1AA7-4EDC-B084-7D50C8D3C2AB&displaylang=ja
• Microsoft Windows 2000:
  http://www.microsoft.com/downloads/details.aspx?FamilyId=9EFA4EBD-2068-4742-917D-A2638688C029&displaylang=ja

このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。

Microsoft Update の利用方法については以下のサイトを参照してください。

• Microsoft Update 利用の手順
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx