マイクロソフト、最新のIIS向け累積セキュリティパッチを配布開始 | RBB TODAY

マイクロソフト、最新のIIS向け累積セキュリティパッチを配布開始

エンタープライズ その他

 マイクロソフトは、Internet Information Server(IIS)向けのセキュリティパッチを集めた累積パッチの提供を開始した。対象はIIS4.0、5.0、5.1の3バージョン。

 この累積的な修正には、前回の累積的な修正プログラム(MS02-018)に含まれる修正の全て、「HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される(MS02-028)」の修正、およびあらたな4つの脆弱性に対応する修正が含まれている。あらたな4の脆弱性には、2件の「深刻度:中」の脆弱性 −アウトプロセスの権限の昇格、およびWebDAVに対するサービス拒否の脆弱性− がある(「深刻度:高」に分類されるあらたな脆弱性はない)。

 なお、この累積パッチには前回の累積パッチ同様、FrontPage Server ExtensionsやIndex Serverについてのセキュリティパッチは含まれていないため、それらは別途入手して適用しなければならない。ただ、前回と同じく例外的にMS01-033「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される 」への修正だけは同梱されている(IISへの影響が大きいため)。

 IISは、Windowsが標準で提供する環境ということもあり、これを狙うワームやクラッキングツールも少なくない。IISを有効にしているかどうかにかかわらず、インストールしている環境には必ず導入していただきたい。
《RBB TODAY》

特集

page top