マイクロソフト、IISの累積的な修正ファイルを公開。あらたに4つの脆弱性に対応 | RBB TODAY

マイクロソフト、IISの累積的な修正ファイルを公開。あらたに4つの脆弱性に対応

エンタープライズ その他

 マイクロソフトは、Internet Information Server 4.0とInternet Information Service 5.0および5.1の3製品について、最新版の累積的な修正ファイルの配布を開始した。前回の累積パッチの内容に加え、あらたな脆弱性への対応が含まれている。

 あらたに対策された脆弱性は4点で、クロスサイトスクリプティング脆弱性(IIS4.0、5.0、5.1)、サーバサイドインクルード(SSI)機能のバッファオーバーラン(IIS5.0)、ASPヘッダ生成に関するサービス拒否攻撃(IIS4.0、5.0)、WebDAVに関するサービス拒否攻撃(IIS5.0、5.1)が対策されている。

 このうち、もっとも深刻度が高いとされているのはWebDAVについてのサービス拒否攻撃で「重要」とされている。なお、SSIのバッファオーバーランについては任意のコードを外部から実行されるおそれがあるが、Lockdown toolのデフォルト設定でSSIが使えない設定にされていることや、獲得できる権限がユーザレベルであるため「重要」より一段低い「警告」になっている(とはいえ、SSIが有効になっていれば影響は受ける)。

 IISでサーバを運営しているユーザは、Windows Updateなどで対応を行って欲しい。
《RBB TODAY》

編集部のおすすめ記事

特集

page top