セキュリティ問題の修正プログラム - 2000 年 6 月 17 日
この修正プログラムによって、Internet Information Services (以下 IIS) 5.0 に存在する「ディレクトリ ブラウザ引数の不在」と「.HTR 経由のファイル フラグメントの読み取り」の 2 種類の脆弱性 (セキュリティ番号 MS00-044) が修正されます。今すぐダウンロードして、悪意のあるユーザーがこの脆弱性を悪用して、Web サーバーのパフォーマンスを低下させたり、ごく稀に Web サーバーの一部のファイルのソース コードを取得できるような事態が起きないようにしてください。
.htr ファイルは、Windows 2000 でパスワードの変更に使用したり、管理者がさまざまなパスワード管理機能を実行できるスクリプトです。この脆弱性によって、サーバー上のデータが変更、追加、または削除されたり、問題の影響を受けるコンピュータの管理権限が許可されることはありません。
この修正プログラムで修正される 2 種類の脆弱性の詳細は、次のとおりです。
- 「ディレクトリ ブラウザ引数の不在」という脆弱性。IIS 3.0 の一部としてインストールされた管理スクリプトが IIS 4.0 または IIS 5.0 へのアップグレード後も残っていると、想定される引数が指定されていない場合に正しく処理できません。引数が指定されていないためにスクリプトで無限ループが発生し、その時点でサーバーのすべての CPU リソースを消費します。さらに、このツールと関連ツールに対するアクセス許可は、IIS 3.0 には適していても、IIS 5.0 には不適切です。そのため、Web サイトの訪問者がこのツールを使用して、サーバーのディレクトリ構造を表示できる可能性があります。
- 「.htr 経由のファイル フラグメントの読み取り」という脆弱性の新種。この脆弱性はもともと、セキュリティ情報の MS00-031 で説明されている脆弱性です。 新種の脆弱性は、脆弱性を悪用する方法だけが異なります。本来、この脆弱性の影響は .asp ファイルやその他のファイルのフラグメントをサーバーから取得できる可能性があることです。それと同じように、この新種では悪意のあるユーザーにとって最も興味深い .asp ファイルの一部が取得される可能性があります。
この脆弱性の詳細については、セキュリティ情報の MS00-044 を参照してください。
この修正プログラムは、IIS 5.0 を実行している Windows 2000 に対して適用されます。
コンピュータを再起動してインストールを完了します。
- [スタート] メニューの [設定] をポイントし、[コントロール パネル] をクリックします。
- [アプリケーションの追加と削除] アイコンをダブルクリックします。
- [Windows 2000 Hotfix [See Q267560 for more information]] を選択し、[変更/削除] をクリックするとアンインストールされます。