クレーム認証を使用している Web アプリケーションは、更新が必要です (SharePoint Server 2010)
適用先: SharePoint Foundation 2010, SharePoint Server 2010
トピックの最終更新日: 2016-11-30
ルール名: クレーム認証を使用している Web アプリケーションは、更新が必要です
イベント ID : なし
概要: クレーム ベース認証を使用する Web アプリケーションには、ユーザーが特権を獲得できる潜在的なセキュリティ脆弱性のリスクがあります。クレーム ベース認証を使用する Web アプリケーションをホストする Web サーバーは潜在的に脆弱です。
原因: この脆弱性は、Microsoft ASP.NET 2.0 ベースの Web アプリケーションを、Microsoft SharePoint Server 2010 を実行しているサーバーでホストされている Web サイトに展開し、サーバーでインターネット インフォメーション サービス (IIS) 7.0 または IIS 7.5 が統合モードで実行していると発生します。
SharePoint サイトで部分的に信頼できる Web パーツを展開するか、または外部リストを作成した場合、そのような Web パーツまたは外部リストには必要なものより多くの権限が設定されます。この問題により、SharePoint サイトでセキュリティ リスクが発生する可能性があります。たとえば、このような Web パーツまたは外部リストは予期しないデータベース要求または HTTP 要求を生成することがあります。
この問題は、ASP.NET 2.0 の認証コンポーネントでの変更によって発生します。変更により、部分的に信頼できる Web パーツまたは外部リストがアプリケーション プール アカウントを偽装するようになります。したがって、Web パーツは SharePoint サイトにアクセスする完全な権限を持ちます。
解決策: 更新プログラムをインストールします
更新プログラムをダウンロードするには、「KB979917 - QFE for SharePoint issues - Perf Counter fix & User Impersonation (英語)」をにアクセスしてください。
更新プログラムの詳細については、「ASP.NET 2. 0 ベースのアプリケーションを IIS 7. 0 または IIS 7. 5 を統合モードで実行しているサーバーを展開するときに 2 つの問題が発生します」を参照してください。