マイクロソフトセキュリティ情報 MS04-029

RPC ランタイムライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350)

公開日: 2004年10月13日 | 最終更新日: 2004年10月13日

概要 :

このセキュリティ情報の対象となるユーザー : Microsoft® Windows® をご使用のお客様

脆弱性の影響 : 情報の漏えい、およびサービス拒否

最大深刻度 : 重要

推奨する対応策 : お客様は、セキュリティ更新プログラムをできるだけ早期にインストールしてください。

含まれる過去のセキュリティ更新プログラム : このセキュリティ情報で提供される更新プログラムは、以前提供されたいくつかの更新プログラムに置き換わるものです。置き換わる更新プログラムの一覧については、このセキュリティ情報の「よく寄せられる質問」をご覧下さい。

警告 : なし

テストしたソフトウェアおよび更新プログラムのダウンロード先 :

影響を受けるソフトウェア :

	PC/AT	PC-9800
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6		-

このマークをクリックして、PC/AT 互換機用または NEC PC-9800 シリーズ用の更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

このマークの付いている更新プログラムは Windows Update からインストールすることもできます。
Windows Update の利用方法については以下のサイトを参照してください。

Windows Update 利用の手順
http://www.microsoft.com/japan/athome/security/square/guard/WU5Steps.mspx

影響を受けないソフトウェア :

Microsoft Windows 2000 Service Pack 3 および Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server® 2003
Microsoft Windows Server 2003, 64-Bit Edition
Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) および Microsoft Windows Millennium Edition (Me)

上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。ご使用中の製品およびバージョンのサポートライフサイクルを確認するためには、マイクロソフトサポートライフサイクルの Web サイトをご覧下さい。

詳細

要点

脆弱性識別番号	脆弱性の影響	Windows NT 4.0
RPC ランタイムライブラリの脆弱性 - CAN-2004-0569	情報の漏えいおよびサービスの拒否	重要

このセキュリティ更新プログラムに関するよく寄せられる質問

この更新プログラムにより何が置き換えられますか?

このセキュリティ更新プログラムにより、以前にリリースされたいくつかの更新プログラムが置き換えられます。影響を受けるセキュリティ情報の番号およびオペレーティングシステムのバージョンを次の表に記載します。

セキュリティ情報番号	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS98-014	置き換わる	対象外	対象外	対象外
MS03-026	置き換わる	対象外	対象外	対象外
MS03-039	置き換わる	対象外	対象外	対象外
MS04-012	置き換えられない	対象外	対象外	対象外

注: このセキュリティ更新プログラムは、MS04-012 として提供したセキュリティ更新プログラムを置き換えるものではありません。MS04-012 は、上記の表中で、単なる参考として記載しています。

Microsoft Windows NT 4.0 Workstationを使用中ですが、2004年6月30日でセキュリティ更新情報のサポートが終了しました。今後どうしたらよいでしょうか?

すでに公開しているサポートライフサイクルに従い、Windows NT 4.0 Workstationの延長サポートを終了しました。今後の脆弱性の影響を受ける可能性を防ぐため、これらのオペレーティングシステムを使用しているお客様は、サポート対象のバージョンに移行することを強く推奨します。 Windows 製品のサポートライフサイクルに関する詳細情報は、マイクロソフトサポートライフサイクルをご覧下さい。これらのオペレーティングシステムのバージョンについて、延長されたセキュリティ更新プログラムのサポート期間に関する詳細情報は、Microsoft Product Support Services Web サイトをご覧下さい。

Windows NT Workstation 4.0 SP6a の追加サポート（カスタムサポート）が必要なお客様は、担当営業、またはマイクロソフトアカウントチームの担当者、担当テクニカルアカウントマネージャ (TAM)、またはカスタムサポートオプションのマイクロソフトパートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター（営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253）までお問い合わせください。

詳細情報は、Windows オペレーティングシステム FAQ をご覧下さい。

Microsoft Baseline Security Analyzer (MBSA) を使用して、この更新プログラムが必要であるかどうかを確認することはできますか?

はい。MBSA により、この更新プログラムが必要かどうかを確認することができます。MSBA に関する詳細情報は、MBSA Web サイトをご覧下さい。

注意 : 2004 年 7 月 14 日をもって、以前のバージョンの SMS 2.0 Software Update Services Feature Pack、 SMS 2003 Software Update Scanning Tools、MBSA 1.1.1 および、それ以前のバージョンによって使用される Mssecure.xml ファイルの更新を終了するため、2004 年 7 月 15 日以降、新たなセキュリティ情報のデータで更新されていません。そのため、2004 年 7 月 15 日以降、MBSA 1.1.1 またはそれ以前のバージョンのデータで行われるスキャンは、不完全となる場合がございます。 MBSA 1.2 でより正確なセキュリティ更新プログラムの検出が行われ、サポートされる製品もより多いため、すべてのユーザーは、MBSA 1.2 にアップグレードをすることを推奨いたします。MBSA 1.2 は、MBSA Web サイトからダウンロードすることができます。MBSA のサポートに関する詳細は、Microsoft Baseline Security Analyzer (MBSA) Version 1.2 Q&A をご覧ください。

Systems Management Server (SMS) を使用して、この累積的な更新プログラムが必要であるかどうかを確認することはできますか?

はい。SMS は、このセキュリティ更新プログラムを検出し、展開する支援をします。 SMS に関する情報は、SMS の Web サイトをご覧下さい。

脆弱性の詳細

セキュリティ更新プログラムに関する情報

日付	時間	バージョン	サイズ	ファイル名
2004/02/27	20:07	4.0.1381.7263	768,288	ole32.dll
2004/08/13	16:01	4.0.1381.7303	374,400	rpcrt4.dll
2004/02/27	20:07	4.0.1381.7263	130,112	rpcss.exe

日付	時間	バージョン	サイズ	ファイル名
2004/02/27	20:22	4.0.1381.39779	768,800	ole32.dll
2004/07/28	15:25	4.0.1381.39794	376,016	rpcrt4.dll
2004/02/27	20:22	4.0.1381.39779	132,224	rpcss.exe

その他の情報

謝辞 :

この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。

RPC ランタイムライブラリの脆弱性を報告に協力してくださった BindView

他のセキュリティ更新プログラムの入手先 :

他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフトダウンロードセンターからダウンロードすることができます。「security_patch」のキーワード探索によって容易に見つけることができます。
コンシューマプラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。

他のセキュリティ情報 :

Microsoft TechNet Security センターでは、製品に関するセキュリティ情報を提供しています。
Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/
Microsoft Baseline Security Analyzer (MBSA) : http://technet.microsoft.com/ja-jp/security/cc184924.aspx MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。
Microsoft Update : http://update.microsoft.com/microsoftupdate/
Windows Update カタログ : http://support.microsoft.com/kb/323166
Office のアップデート : http://office.microsoft.com/officeupdate/

Software Update Services (SUS) :

Microsoft Software Update Services (SUS) は、最新の重要な更新プログラムを適用し、Windows ベースのシステムを最新の状態に維持するプロセスを大幅に簡素化する目的で開発されました。SUS により、重要な更新プログラムを Windows® 2000 や Windows Server™ 2003 ベースのサーバー、ならびに Windows® 2000 Professional や Windows XP Professional を実行するデスクトップコンピュータへ迅速かつ確実に配布することができます。

Software Update Services に関するより詳細な情報は以下をご覧ください:
http://www.microsoft.com/japan/windows2000/windowsupdate/sus/

Systems Management Server (SMS) :

Microsoft Systems Management Server (SMS) は更新プログラムを管理するための、構成可能なエンタープライズソリューションを提供します。SMS により、管理者はセキュリティ更新プログラムを必要とする Windows ベースのコンピュータを識別し、エンタープライズ全体で、エンドユーザーへの中断を最小限にして、これらの更新プログラムの制御された適用を実行することができます。セキュリティ更新プログラムを適用するための SMS 2003 の使用方法に関する詳細情報は SMS 2003 セキュリティパッチ管理 Web サイトをご覧下さい。SMS 2.0 ユーザーもまた、Software Updates Service Feature Pack を活用して、セキュリティ更新プログラムの適用を支援することができます。SMS に関する情報は SMS の Web サイトをご覧下さい。

注 : SMS は Microsoft Baseline Security Analyzer および Microsoft Office 検出ツールを活用してセキュリティ情報で提供された更新プログラムの検出と適用について広範なサポートを提供します。これらのツールにより検出されないソフトウェアの更新プログラムもあります。管理者は、特定のコンピュータへの更新プログラムを対象とし、これらの場合に SMS のインベントリ機能を使用することができます。この手順に関する詳細情報は、こちらの Web サイト (英語情報) をご覧下さい。コンピュータの再起動後、管理者権限を必要とするセキュリティ更新プログラムもあります。管理者は、SMS 2.0 Administration Feature Pack の上位権利での展開ツール (SMS Administration Feature Pack (英語情報) および SMS 2.0 Administration Feature Pack でご利用可能です) は、これらの更新プログラムのインストールに使用することができます。

サポート :

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフトセキュリティ情報センターまでご連絡ください。
マイクロソフトセキュリティ情報センター
その他、製品に関するご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。
マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。
製品のサポート期間の詳細は、マイクロソフトサポートライフサイクル Web サイトをご参照ください。製品別情報の詳細は、同様にマイクロソフトサポートライフサイクル Web サイトの製品を探すからご確認ください。
注意: Windows NT 4.0 Workstation は、ライフサイクルを終了しております。詳細につきましては、「よく寄せられる質問」をご確認ください。

詳細情報 :

US マイクロソフトセキュリティ情報（MS04-029）
http://www.microsoft.com/technet/security/bulletin/ms04-029.mspx
サポート技術情報（KB）文書番号：873350
[MS04-029] RPC ランタイムライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる

更新履歴 :

2004/10/13: このセキュリティ情報ページを公開しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。-

マイクロソフトセキュリティ情報 MS04-029

RPC ランタイムライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350)

概要 :

詳細

要点

このセキュリティ更新プログラムに関するよく寄せられる質問

脆弱性の詳細

RPC ランタイムライブラリの脆弱性 - CAN-2004-0569:

「RPC ランタイムライブラリの脆弱性」の問題を緩和する要素 - CAN-2004-0569:

「RPC ランタイムライブラリの脆弱性」の回避策 - CAN- 2004-0569:

「RPC ランタイムライブラリの脆弱性」のよく寄せられる質問 - CAN- 2004-0569:

セキュリティ更新プログラムに関する情報

Windows NT Server 4.0 (すべてのバージョン)

その他の情報

マイクロソフト セキュリティ情報 MS04-029

RPC ランタイム ライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350)

マイクロソフトセキュリティ情報 MS04-029

RPC ランタイムライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350)