リビング＋：ニュース

2003/05/29 15:06:00 更新

マイクロソフト、IISの累積的な修正ファイルを公開

　マイクロソフトは、Internet Information Server 4.0とInternet Information Service 5.0および5.1の3製品について、最新版の累積的な修正ファイルの配布を開始した。前回の累積パッチの内容に加え、あらたな脆弱性への対応が含まれている。

　あらたに対策された脆弱性は4点で、クロスサイトスクリプティング脆弱性（IIS4.0、5.0、5.1）、サーバサイドインクルード（SSI）機能のバッファオーバーラン（IIS5.0）、ASPヘッダ生成に関するサービス拒否攻撃（IIS4.0、5.0）、WebDAVに関するサービス拒否攻撃（IIS5.0、5.1）が対策されている。

　このうち、もっとも深刻度が高いとされているのはWebDAVについてのサービス拒否攻撃で「重要」とされている。なお、SSIのバッファオーバーランについては任意のコードを外部から実行されるおそれがあるが、Lockdown toolのデフォルト設定でSSIが使えない設定にされていることや、獲得できる権限がユーザレベルであるため「重要」より一段低い「警告」になっている（とはいえ、SSIが有効になっていれば影響は受ける）。

　IISでサーバを運営しているユーザは、Windows Updateなどで対応を行って欲しい。

関連リンク
マイクロソフト

[記事提供：RBBTODAY]

---