Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <199912230903.SAA28483@rins.st.ryukoku.ac.jp> Date: Thu, 23 Dec 1999 18:13:30 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK99-47) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************************** Microsoft(R) Security Bulletin Japanese Edition (MSKK99-47) -------------------------------------- "エスケープ文字解析" の脆弱性に対する修正プログラム マイクロソフトは、Microsoft Internet Information Server (IIS) と IIS 上で動作する製品に含まれる脆弱性を排除する修正 プログラムをリリースしました。この脆弱性により、Web サーバー 上のファイルが、一部のサードパーティ アプリケーションのアク セス制御をバイパスするために、代わりの表現を使用して指定され る可能性があります。この脆弱性に関する詳細については次のサイ ト(英文)をご覧ください。 http://www.microsoft.com/security/bulletins/MS99-061.asp RFC 1738 では、いわゆる "エスケープ" 文字、パーセント記号を 前に付けて、16 進数字を URL に入力することを、Web サーバーが 許可しなければならないと指定しています。IIS はこの仕様に準拠 しますが、パーセント記号の後に 16 進数字以外の文字が入ってい る場合でも受け入れます。これらの中には、印刷可能な ASCII 文 字に翻訳されるものがあり、これにより、URL でファイルを指定す る代行手段が生じる可能性があります。 この脆弱性は IIS には影響しません。この代行手段によってファ イル名を指定したとしても、IIS のアクセス制御はバイパスされま せん。しかし、IIS 上で動作していて正規化を行わないサードパー ティのソフトウェアは、この影響を受けます。 影響を受けるソフトウェアのバージョン ・Microsoft Internet Information Server 4.0 ・Microsoft Site Server 3.0 ・Microsoft Site Server Commerce Edition 3.0 修正プログラムの入手方法 以下のサイト(マイクロソフト ダウンロードセンター)にて入手 できます。 - Intel: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16361 - Alpha: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16362 ********************************************************************** 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し てください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ けます。また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。