このページの本文へ

パッチ未提供で、対策は機能の無効化

IISのWebDAVに認証迂回の脆弱性あり

2009年05月22日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 マイクロソフトは5月19日、インターネット インフォメーション サービス(IIS)の一部に、認証のすり抜けが可能になる脆弱性が発見されたとセキュリティ アドバイザリで発表した。

 対象となるIISは、Windows 2000搭載のIIS 5.0、Windows XP搭載のIIS 5.1、Windows Server 2003およびWindows XP Professional x64 Editionが搭載するIIS 6.0。これらのIISが持つWebDAV拡張には、HTTPのリクエストを処理する方法に特権の昇格の脆弱性が存在する。そのため、特別に細工した匿名のHTTPリクエストを利用すると、本来は認証が必要な場所に認証なしでアクセスできてしまう可能性がある

 この脆弱性で回避できるのはIISのアクセス制御機能であり、ファイルシステムの持つACL(アクセスコントロールリスト)は有効のままだ。そのため、匿名ユーザーアカウントのアクセス許可をACLで設定している範囲のみが、認証すり抜けてアクセスできてしまう対象となる。

 5月19日のセキュリティアドバイザリ公開時点で、対策パッチは用意されていない。そのため、WebDAV拡張を利用していないのであれば無効化すべきだろう。IIS 5.0/5.1では標準で有効、IIS 6.0では無効となっている。同社によれば、この脆弱性については現在調査中であり、調査完了後に月例のセキュリティ更新プログラムもしくは臨時パッチとして提供される見込みだ。

 なお、Windows VistaおよびWindows Server 2008が搭載するIIS 7.0には、上記の脆弱性は発見されていない。

カテゴリートップへ

  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌
  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!