公開日:2009/05/21 最終更新日:2009/09/11
JVNVU#787932
Microsoft IIS 6.0 WebDAV における認証回避の脆弱性
Microsoft Internet Information Services (IIS) には認証回避の脆弱性が存在します。
- Microsoft Internet Information Services 5.0
- Microsoft Internet Information Services 5.1
- Microsoft Internet Information Services 6.0
Web-based Distributed Authoring and Versioning (WebDAV) はサーバ上に存在するファイルを管理するための HTTP の拡張プロトコルです。WebDAV を実装している Microsoft IIS には Unicode トークンの処理に問題があり、認証回避が可能な脆弱性が存在します。
遠隔の第三者によって、アクセス制御を回避され、ファイルをダウンロードされたり、改ざんされたりするなどの可能性があります。
アップデートする
Microsoft が提供する情報をもとにアップデートを行ってください。
ワークアラウンドを実施する
以下の回避策を行うことで想定される影響を軽減できる可能性があります。
- WebDAV を無効化する
WebDAV を無効化することで本脆弱性の影響を回避できます。IIS バージョン 6.0 では WebDAV を使用するサービスをインストールしていない場合、デフォルトで無効になっています。 - 外部からの HTTP リクエストをフィルタリングする
HTTP ヘッダに "Translate: f" が含まれているリクエストを拒否することで本脆弱性の影響を軽減することが可能です。
詳しくはマイクロソフト セキュリティ アドバイザリ (971492) をご確認ください。
| ベンダ | リンク |
| マイクロソフト | マイクロソフト セキュリティ アドバイザリ (971492) |
| マイクロソフト セキュリティ情報 MS09-020 |
2009年6月10日公開の MS09-020 にて更新プログラムがリリースされました。
2009.05.21における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2009-1122 |
|
CVE-2009-1535 |
|
| JVN iPedia |
JVNDB-2009-001542 |
- 2009/06/12
- 更新プログラムに関する記述を追記し、CVE 番号を更新しました。
- 2009/09/11
- 関連文書に JVN iPedia へのリンクを追加しました。
