PR

 米Microsoftは米国時間6月18日,Windowsの検索機能を提供する「インデックス・サーバー(Index Server 2.0/Indexing Service)」に深刻なセキュリティ・ホールがあることを公表した。このセキュリティ・ホールを悪用すれば,Internet Information Server 4.0/Services 5.0(IIS 4.0/5.0)を動作させているWindows NT 4.0/2000 マシンをリモートから乗っ取ることが可能となる。

 同社は日本語版用のパッチを公開しているので,管理者は早急に適用する必要がある(NT 4.0用Windows 2000用)。なお,Windows XPベータ版も影響を受けるが,パッチは公開されていない。

[IT Pro編 追記]: マイクロソフトは6月19日,上記セキュリティ・ホールについての日本語情報を公開した

[IT Pro編 追記]: 米CERT/CCも米国時間6月19日に,上記セキュリティ・ホールに関するアドバイザリを公開した

 今回のセキュリティ・ホールは,インデックス・サーバーのコンポーネントのひとつであるISAPIエクステンション「idq.dll」に未チェックのバッファがあることが原因。IIS経由である特定のリクエストを送信されると,バッファ・オーバーフローを引き起こし,IISサーバー上で任意のコードを実行される恐れがある。そうなると,IISサーバーは乗っ取られたのと同じ状態になり,攻撃者は(1)Webページの改ざん,(2)OSコマンドの実行,(3)サーバーの設定変更など,ありとあらゆる操作が可能となる。

 また,HTTPを使って攻撃できるので,IISサーバーを公開用Webサーバーとして運用している場合には,過去の深刻なセキュリティ・ホール同様,ファイアウオールなどで防ぐことはできない。非常に深刻なセキュリティ・ホールである。

 IISを動かしていなければ,インデックス・サーバーを使用していてもセキュリティ・ホールの影響を受けない。逆に,インデックス・サーバーを動作させていなくても,IISを稼動していれば攻撃を受ける可能性がある。そのため,すべてのIIS 4.0/5.0サーバーで対策をとる必要がある。

 Microsoftは日本語版用を含む,各国語版用のパッチを同日公開した。同社はすぐにパッチを適用することを強く勧めている。パッチのダウンロード・ページ(NT 4.0用Windows 2000 Professional/Server/Advanced Server用)で「Japanese」を選択すれば,日本語版用をダウンロードできる。なお,パッチの適用対象は Windows NT 4.0 Service Pack 6a および Windows 2000 Service Pack 1 あるいは Service Pack 2。

 また,IIS からインデックス・サービスを利用できないように設定することでも影響を回避できる。具体的には,「.ida」と「.idq」ファイルをスクリプト・マッピングから削除する。マイクロソフトが公開している「Web コンテンツの改ざんに対する防御策についての説明」などにマッピングの削除方法が記載されている。

 しかし,今後システム構成などを変更した場合,マッピングが元の状態に戻ってしまう可能性があるという。そのため,スクリプト・マッピングから削除していても,パッチを適用することをMicrosoftは勧めている。

(勝村 幸博=IT Pro編集)