マイクロソフト、IIS向けの累積セキュリティパッチを提供。あらたに公開された10件の脆弱性対策を含む | RBB TODAY

マイクロソフト、IIS向けの累積セキュリティパッチを提供。あらたに公開された10件の脆弱性対策を含む

エンタープライズ その他

 マイクロソフトは、Internet Information Server(IIS)向けのセキュリティパッチを集めた累積パッチの提供を開始した。対象となるのは、IIS4.0、5.0、5.1の3バージョン。既存セキュリティパッチのほか、あらたな10の脆弱性に対応するパッチも含まれている。ただ、関連製品のパッチは別に提供されているため、IISでサーバを運用している場合は、MS02-018のドキュメントを読んで適切な対応を行う必要がある。

 あらたな10の脆弱性の中には、Active Server Pages関連のバッファオーバーラン脆弱性など4つの深刻度「高」のセキュリティホールが含まれているので、IISをインストールしている場合は本累積パッチの適用が必須といえる。

 既存のパッチについては、IIS4.0用はNT4.0SP6a以降のセキュリティパッチをすべて収録。IIS5.0用および5.1用は、既存のセキュリティパッチがすべてまとめられている。ただし、IIS4.0の既知の4つの脆弱性(MS00-028/MS00-025/MS99-025/MS99-013)については、管理者による操作で対応することから、累積パッチに修正プログラムが含まれていない。

 IISユーザが注意すべきは、この累積パッチにはFrontPage Server ExtensionsやIndex Serverについてのセキュリティパッチが含まれていないという点だ。これらはIISといっしょにインストールされて運用されることが多いものの、IISとは別製品のため、というのがその理由。ただ、例外的にMS01-033「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される 」についてのパッチはIISへの影響が大きいため、この累積パッチに含められている。

 IISの脆弱性は、CodeRedやNIMDAのようなワームの繁殖の温床となりうるもの。IISをインストールしている場合は、パッチの適用を必ずおこなってほしい。
《RBB TODAY》

編集部のおすすめ記事

特集

page top