マイクロソフト セキュリティ情報 MS04-017

• ファイアウォールによる最善策および標準の既定のファイアウォールの構成により、エンタープライズ境界の外部から行われるリモートの攻撃からネットワークを保護することができます。セキュリティ上の最善策として、インターネットに接続しているコンピュータについて、開かれているポートの数を最小限にすることを推奨します。
• インターネット インフォメーション サービス (IIS) がインストールされているコンピュータのみがこの脆弱性の影響を受けます。
• CrystalDecisions.Web.dll をホストしている IIS ワーカー プロセスが削除許可を持つファイルに対してのみ、攻撃が行われる可能性があります。

Visual Studio .NET 2003

• 既定で、この脆弱性の悪用を目的として悪用されるコンポーネントをホストしている IIS ワーカー プロセスは、オペレーティング システムおよびサーバー ロールにより、異なるセキュリティ コンテキストで実行されるよう構成されます。これらのアカウントのすべては、コンピュータのリソースへの制限されたアクセスを持つ制限された種類のアカウントです。
  • Windows 2000 および Windows XP では、machine\ASPNET アカウントは既定のセキュリティ コンテキストです。
  • Windows 2000 ドメイン コントローラでは、IWAM_MACHINE アカウントが既定のセキュリティ コンテキストです。
  • Windows Server 2003 (IIS ワーカー プロセス分離モード) では、ネットワーク サービス アカウントが既定のセキュリティ コンテキストです。
  • Windows Server 2003 (IIS5 互換モード) では、machine\ASPNET アカウントが既定のセキュリティ コンテキストです。
  • Windows 2003 ドメイン コントローラでは、ネットワーク サービス アカウントが既定のセキュリティ コンテキストです。
• Visual Studio .NET 2003 がインストールされているコンピュータについては、Visual Studio がインストールされた時に IIS がコンピュータに存在しており、IIS が現在でも有効となっている場合のみ、この脆弱性の影響を受けます。

Outlook 2003 with Business Contact Manager

• 既定で、この脆弱性の悪用を目的として悪用されるコンポーネントをホストしている IIS ワーカー プロセスは、オペレーティング システムおよびサーバー ロールにより、異なるセキュリティ コンテキストで実行されるよう構成されます。これらのアカウントのすべては、コンピュータのリソースへの制限されたアクセスを持つ制限された種類のアカウントです。
• Outlook 2003 with Business Contact Manager がインストールされているコンピュータについては、Business Contact Manager がインストールされた時に、IIS がコンピュータに存在している場合のみ、この脆弱性の影響を受けます。
• Outlook with Business Contact Manager は、Outlook 2003 の既定のインストールの一部ではありませんが、Microsoft Office Small Business Edition 2003 および Microsoft Office Professional Edition 2003 とともに別途 CD で利用可能です。

Microsoft Business Solutions CRM 1.2

• Microsoft Business Solutions CRM 1.2 では、認証されたユーザーのみが、Crystal Enterprise Web インターフェースにアクセスすることができます。

どのようなことが起こる可能性がありますか?

ディレクトリ トラバースの脆弱性が Business Objects の Crystal Reports および Crystal Enterprise に存在し、これにより影響を受けるコンピュータで、情報の漏えいおよびサービス拒否の攻撃が行われる可能性があります。この脆弱性により、攻撃者は影響を受けるコンピュータで Crystal Reports および Crystal Enterprise Web Form Viewers を介し、ファイルの取得および削除を行う可能性があります。
既定で、この脆弱性の悪用を目的として悪用されるコンポーネントをホストしている Visual Studio .NET 2003 および Outlook 2003 with Business Contact Manager の IIS ワーカー プロセスはオペレーティング システムおよびサーバーロールにより、異なるセキュリティ コンテキストで実行されるよう構成されます。これらのアカウントのすべては、コンピュータのリソースに制限されたアクセスを持つ制限された種類のアカウントです。
Crystal Web インターフェースへのアクセスは Windows ユーザーグループのメンバシップにより、Microsoft Business Solutions CRM 1.2 の認証されたユーザーに制限されます。CRM v1.2 の最初のインストール中、CRM サーバーが実行されるセキュリティ コンテキスト (LocalSYSTEM、ネットワーク サービス、またはドメイン ユーザー) を選択することができます。既定は LocalSYSTEM で、これにより、このセキュリティ コンテキストで認証されたユーザーがコンピュータに対しこの攻撃を試みる可能性があります。

何が原因で起こりますか?

Crystal Reports および Crystal Enterprise は、特定の HTTP リクエストを受け取る前に正しく入力を検証しません。

Crystal Reports および Crystal Enterprise とは何ですか?

Crystal Reports および Crystal Enterprise とは Business Objects (英語情報) から提供されているソフトウェアです。マイクロソフトは Crystal Reports のカスタム バージョンを Visual Studio .NET 2003 および Outlook 2003 with Business Contact Manager に再配布しています。また、Crystal Enterprise 9.0 SDK を Microsoft Business Solutions CRM1.2 に再配布しています。

Visual Studio .NET 2003 とは何ですか?

Visual Studio .NET 2003 (英語情報) とは、XML Web サービスとそのほかのアプリケーションをバインドし、統合するための開発ツールです。これには、Crystal Reports 組み込みレポート デザイナのカスタム バージョン、ランタイム エンジンおよび .NET レポート ビューアを再配布します。

Outlook 2003 with Business Contact Manager とは何ですか?

Outlook 2003 with Business Contact Manager (英語情報) とは、単一のユーザー コンタクト管理ソリューションにおけるビジネスコンタクトを管理するために使用できる Outlook 2003 のアドオンです。これは、Microsoft Office Small Business Edition 2003 および Microsoft Office Professional Edition 2003で、また CD で別途利用可能です。これには Crystal Reports for Visual Studio .NET 2003 ランタイムが含まれています。

Microsoft Business Solutions CRM 1.2 とは何ですか?

Microsoft Business Solutions CRM により、お客様は見込み顧客や商談の管理、インシデント管理、検索可能なナレッジベース、および報告ツールを介し、お客様の関係を築くことができます。Microsoft Business Solutions CRM 1.2 は Crystal Enterprise 9.0 SDK を再配布します。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は Crystal Reports および Crystal Enterprise Web インターフェースを介し、影響を受けるコンピュータでファイルの取得および削除を行う可能性があります。これらのファイルが既知の場所にあり、ASP .NET を実行している IIS ワーカー プロセスのセキュリティ コンテキストがファイルに対し削除許可を持っていることが攻撃者にとっての必要条件となります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

Visual Studio .NET 2003 および Outlook 2003 with Business Contact Manager について、影響を受けるコンピュータで Crystal Reports Web Viewer にアクセスできる匿名ユーザーまたは認証されたユーザーにより、この脆弱性が悪用される可能性があります。
CRM 1.2 について、影響を受けるコンピュータの Crystal Enterprise Web Viewer にアクセスできる認証されたユーザーにより、この脆弱性が悪用される可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は、特別な HTTP リクエストを作成することにより、この脆弱性を悪用し、影響を受けるコンピュータでCrystal Reports および Crystal Enterprise Web Viewers を介し、ファイルの取得および削除を行う可能性があります。

主にどのようなコンピュータがこの脆弱性の影響を受けますか?

IIS がインストールされ、有効にされているコンピュータが次のシナリオで危険にさらされます。

• Visual Studio .NET 2003 がインストールされているコンピュータは、Visual Studio がインストールされた時に IIS がインストールされていた場合のみ、この脆弱性の影響を受けます。影響を受けるコンポーネントは Visual Studio .NET 2003 の既定のインストールの一部です。
• Outlook 2003 with Business Contact Manager がインストールされたコンピュータは、Business Contact Manager がインストールされた時、IIS がインストールされていた場合のみ、この脆弱性の影響を受けます。
• Microsoft Business Solutions CRM 1.2 がインストールされているコンピュータがこの脆弱性の影響を受けます。しかし、認証されたユーザーのみが Crystal Enterprise Web インターフェースにアクセスすることができます。

Microsoft Business Solutions CRM 1.2 Sales for Outlook Client を使用している場合、この脆弱性の影響を受けますか?

いいえ、受けません。Microsoft Business Solutions CRM 1.2 Sales for Outlook Client はこの脆弱性の影響を受けません。

Visual Studio .NET 2003 を使用して Crystal Reports でカスタムソリューションを作成している場合、このソリューションにはこの脆弱性が存在しますか?

その可能性もあります。Visual Studio .NET 2003 からの Crystal_Managed2003.msm マージ モジュールをカスタム ソリューションで使用している場合、この脆弱性の影響を受ける可能性があります。このセキュリティ情報に説明されている回避策および移行を使用し、これらがどのように特定のカスタムソリューションに適用されるかを調べてください。

Visual Studio .NET 2003 からの Crystal_Managed2003.msm マージモジュールを使用して Crystal Reports でカスタムソリューションを作成している場合、どのようにそのカスタムソリューションを更新するのですか?

Business Objects の Web サイトで、Visual Studio .NET 2003 を使用して作成されたソリューション用のセキュリティ更新プログラムが、効果があるかどうかをチェックして下さい。マイクロソフトは、その更新プログラムとカスタムソリューションのテストは行っていないため、マイクロソフトも Business Objects も、お客様のカスタムソリューションと更新プログラムの互換性を保証できません。更新プログラムを運用環境のコンピュータに適用する前に、運用環境以外のコンピュータでテストすることを推奨します。また、Visual Studio 用のセキュリティ更新プログラムをお客様の開発環境に適用し、今後の開発のためのカスタム ソリューションの新しいビルドを生成して下さい。

Visual Studio .NET 2003 を使用しており、それに IIS がインストールされていない場合、この更新プログラムをインストールする必要がありますか?

はい、あります。コンピュータは脆弱性の影響を受けませんが、Crystal_Managed2003.msm マージ モジュールを使用して作成されたカスタム ソリューションが影響を受ける可能性があります。

Visual Studio .NET 2003 を使用していますが、IIS はインストールしていません。この場合影響を受けますか?

いいえ、受けません。

更新プログラムは何を修正しますか?

この更新プログラムは Crystal Reports および Crystal Enterprise が HTTP リクエストを検証する方法を変更することにより、この脆弱性を排除します。

このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?

いいえ。マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けていませんでした。また、このセキュリティ情報が最初にリリースされた時に、公開された検証用コードのいかなる例の存在も確認していませんでした。

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• IIS を停止、無効または削除する
  • コマンド プロンプトで、コマンド net stop w3svc を入力することにより、IIS を停止することができます。
  • IIS Manager (英語情報) を使用して IIS を無効または停止することができます。
  • [コントロールパネル] から [プログラムの追加と削除] を使用して、[Windows コンポーネントの追加と削除] ツールを使用して、コンピュータから IIS を削除することができます。IIS を見つけるためには、[Windows コンポーネントの追加と削除] をクリックして下さい。

  回避策の影響 : w3svc を停止すると、コンピュータが Web コンテンツをサービスできなくなります。IIS を停止または削除すると、コンピュータは Web、FTP または NTP コンテンツをサービスできなくなります。SMTP サービスもまた使用できなくなります。

• IIS Manager を使用して Web サイトを停止または一時停止するためには、次の手順に従ってください
  • IIS Manager (英語情報) で、停止または一時停止 (英語情報) したい Web サイト (この場合、crystalreportwebformviewer2 仮想ディレクトリ) を右クリックし、[停止] または [一時停止] をクリックして下さい。

  回避策の影響 : コンピュータは Crystal Web Interface を介し Crystal Reports をサービスできなくなります。

• コマンドラインコマンドを使用して Web サイトを停止または一時停止するためには、以下の手順に従って下さい
  • [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、[OK] をクリックします。
  • コマンド プロンプトで、cscript iisweb.vbs /action "WebSiteName" と入力し、ENTER を押します。Action を、stop または pause に置き換えます。WebSiteName を、実際の Web サイトの名前 (例 : "規定の Web サイト") に置き換えます。

  回避策の影響 : コンピュータは Crystal Web Interface を介し Crystal Reports をサービスできなくなります。

• crystalreportwebformviewer2 仮想ディレクトリを変更し、認証されたおよび承認されたアクセスのみを許可する
  • IIS Manager (英語情報) を使用し、crystalreportwebformviewer2 仮想ディレクトリを変更し、さらに制限します。たとえば、認証されたユーザー グループのみを許可し、匿名ユーザーを許可しないなどです。

  回避策の影響 : 匿名ユーザーは Crystal Reports Web ビューアにアクセスできなくなる可能性があります。

• crystalimagehandler.aspx ファイルのアクセス制御 (英語情報) リスト (ACL) を制限し、認証されたおよび承認されたユーザーアクセスのみを有効にする
  • IIS は、すべての Windows 認証メソッドを使用するローカル コンピュータ上のディレクトリおよびファイルへのアクセスの制御をサポートします。crystalimagehandler.aspx ファイルの ACL を変更し、さらに制限します。たとえば、認証されたユーザーの制限されたグループのみにアクセスを許可します。
  • 注 : この回避策は、「crystalreportwebformviewer2 仮想ディレクトリを変更し、認証されたおよび承認されたアクセスのみを許可する」と関連して使用する必要があります。

  回避策の影響 : Web サイトにアクセスできるユーザーは、認証されたおよび承認されたユーザーのみとなります。

このセキュリティ更新プログラムを適用するには、Outlook 2003 with Business Contact Manager の製品版を実行している必要があります。また、Microsoft Windows Installer 2.0 がインストールされている必要があります。
Microsoft Windows Server 2003、Windows XP、Microsoft Windows 2000 Service Pack 3 (SP3) には、Windows Installer 2.0 またはそれ以降のバージョンが含まれます。
コンピュータに Office 2003 がインストールされている場合、Windows 2000 Service Pack 3 (SP3) を実行する必要があります。Windows XP またはそれ以降のバージョンのオペレーティング システムを実行する必要があります。

注 : Outlook 2003 with Business Contact Manager がインストールされているコンピュータについては、Business Contact Manager がインストールされた時に IIS がコンピュータに存在しており、IIS が現在でも有効となっている場合のみ、この脆弱性の影響を受けます。

この更新プログラムを含む予定のサービスパック :

この更新プログラムは今後 Outlook 2003 with Business Contact Manager 向けにリリースされるサービスパックに含まれる予定です。

再起動の必要性 :

なし

削除に関する情報 :

この更新プログラムのインストール後、削除することはできません。更新プログラムのインストール前の状態に戻すには、そのアプリケーションを削除し、元の CD-ROM から再度インストールする必要があります。

クライアントの適用の情報:

1. 更新プログラム をダウンロードします。
2. [このプログラムをディスクに保存する] をクリックし、フォルダを選択し、次に [OK] をクリックします。
3. [保存] をクリックし、BusinessContactManager-kb842496-fullfile-enu.exe をディスクに保存します。
4. Windows エクスプローラを使用して、保存されたファイルが含まれるフォルダに移動し、保存されたファイルをダブルクリックし、次に BusinessContactManager-kb842496-fullfile-enu.exe をダブルクリックし、セットアップ プログラムを開始します。
   画面に表示される手順に従い、インストールを完了します。
5. [Yes] をクリックして、使用許諾契約書に承諾します。
6. BCM Crystal Hotfix Setup Wizard の手順に従い、インストールを完了します。
7. インストールの完了後、Outlook 2003 を起動し、Business Contact Manager を使用する必要がある Outlook のプロファイルを選択する必要があります。

注 : セキュリティ更新プログラムが既にコンピュータにインストールされている場合、次のエラー メッセージが表示されます。

This update has already been applied or is included in an update that has already been applied.

クライアントインストールのファイル情報

この更新プログラムのファイル属性 (またはそれ以降) は次のとおりです。

Outlook 2003 with Business Contact Manager:

更新プログラムが正しくインストールされたかどうか確認する方法 :

注 : Microsoft Windows にはいくつかのバージョンがあるため、次のステップはコンピュータにより異なる場合があります。そのような場合には、お客様の製品のドキュメンテーションをご参照の上、これらのステップを完了させて下さい。

1. [スタート] をクリックし、[検索] をクリックします。
2. [検索結果] ウィンドウで、[検索コンパニオン] の [ファイルとフォルダすべて] をクリックします。
3. [ファイル名のすべてまたは一部] で、適切なファイル情報テーブルからファイル名を入力し、[検索] をクリックします。
4. ファイルの一覧で、適切なファイル情報のテーブルからファイル名を右クリックし、[プロパティ] をクリックします。
5. [バージョン] タブで、適切なファイル情報のテーブルに記載されているバージョンと比較することにより、コンピュータにインストールされているファイルのバージョンを確認します。

再起動の必要性 :

このセキュリティ更新プログラムは、再起動が必要ではありません。

削除に関する情報 :

この更新プログラムのインストール後、削除することはできません。更新プログラムのインストール前の状態に戻すには、そのアプリケーションを削除し、元の CD-ROM から再度インストールする必要があります。

以下の情報により、このセキュリティ更新プログラムのインストールを一部自動化することができます。

インストール情報 :

次のセットアップ スイッチを使用して、セキュリティ更新プログラムからファイルが抽出される方法をカスタマイズすることができます。

/?: インストール スイッチの一覧を表示します
/Q ファイルが抽出される時、自動モードを使用、またはメッセージを表示しません
/T: full path ファイルの抽出のターゲット フォルダを指定します
/C ファイルをインストールせずに抽出します。/t: path スイッチを指定していない場合、ターゲット フォルダについて確認メッセージが表示されます
/C: Cmd 作成者により定義されたインストール コマンドを上書きします。Setup .inf または .exe ファイルのパスおよび名前を指定します

サポートされるセットアップ スイッチに関する詳細は、197147 をご覧ください。

適用に関する情報 :

管理者インストールを更新するためには、次の手順を行ってください。

1. クライアント バージョンの更新プログラム をダウンロードします。
2. [このプログラムをディスクに保存する] をクリックし、次に [OK] をクリックします。
3. [保存] をクリックし、BusinessContactManager-kb842496-fullfile-enu.exe ファイルをディスクに保存します。
4. Windows エクスプローラを使用して、保存されたファイルが含まれるフォルダを検索し、保存されたファイルをダブルクリックします。
5. 更新プログラムのインストールの確認メッセージが表示されたら、[はい] をクリックします。
6. [はい] をクリックして、使用許諾契約書に承諾します。
7. [展開されたファイルを保存する場所を指定] ボックスをオンにし、[OK] をクリックします。
8. フォルダを作成するかどうかを確認するメッセージが表示されたら [はい] をクリックします。
9. コマンド プロンプトを開き、抽出されたファイルが含まれるフォルダを検索します。
10. 以下のコマンドを実行し、セキュリティ更新プログラムの無人インストールを行います。

    Msiexec /p [path to the MSP file] /q

    例 :

    Msiexec /p C:\temp\BusinessContactManager-FullFile-ENU.msp /q