マイクロソフトは5月19日、インターネット インフォメーション サービス(IIS)の一部に、認証のすり抜けが可能になる脆弱性が発見されたとセキュリティ アドバイザリで発表した。
対象となるIISは、Windows 2000搭載のIIS 5.0、Windows XP搭載のIIS 5.1、Windows Server 2003およびWindows XP Professional x64 Editionが搭載するIIS 6.0。これらのIISが持つWebDAV拡張には、HTTPのリクエストを処理する方法に特権の昇格の脆弱性が存在する。そのため、特別に細工した匿名のHTTPリクエストを利用すると、本来は認証が必要な場所に認証なしでアクセスできてしまう可能性がある。
この脆弱性で回避できるのはIISのアクセス制御機能であり、ファイルシステムの持つACL(アクセスコントロールリスト)は有効のままだ。そのため、匿名ユーザーアカウントのアクセス許可をACLで設定している範囲のみが、認証すり抜けてアクセスできてしまう対象となる。
5月19日のセキュリティアドバイザリ公開時点で、対策パッチは用意されていない。そのため、WebDAV拡張を利用していないのであれば無効化すべきだろう。IIS 5.0/5.1では標準で有効、IIS 6.0では無効となっている。同社によれば、この脆弱性については現在調査中であり、調査完了後に月例のセキュリティ更新プログラムもしくは臨時パッチとして提供される見込みだ。
なお、Windows VistaおよびWindows Server 2008が搭載するIIS 7.0には、上記の脆弱性は発見されていない。
