Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <200005170724.QAA08003@rins.st.ryukoku.ac.jp> Date: Wed, 17 May 2000 16:25:45 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-55) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************* Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-55) -------------------------------------- 「URL 内の変形された拡張子データ」脆弱性に対するパッチ RFC 2396 に準拠して、IIS 内の URL を処理するアルゴリズム には、柔軟性が組み込まれており、ファイル拡張子やサブリソ ース識別子を任意に連続させたものを処理できるようになって います (RFC では path_segments として説明されています)。 特定の形に変形されたファイル拡張子情報を含む URL を提供 することにより、悪質なユーザーがこの柔軟性を悪用し、URL の解析に関連する作業要素を任意に増加させてしまう恐れが あります。これにより、サーバー上の CPU 使用可能容量の多 くまたはすべてが消費され、有効な作業を行うことができなく なる場合があります。 この脆弱性では、サーバーが障害を起こしたり、サーバー上で データの追加、変更、削除が可能になったりすることはありま せん。同様に、この脆弱性によって Web サーバーの管理的制 御が不正利用されることもありません。動作が遅くなるのは、 URL の処理が終了するまでの間だけで、処理終了時点でサービ スは通常に戻ります。 影響を受けるソフトウェアのバージョン Microsoft Internet Information Server 4.0 Microsoft Internet Information Service 5.0 パッチの入手方法 現在、日本語版の IIS に対応した修正モジュールを開発中で す。 補足 この問題に関連する詳細については、以下をご覧ください。 Frequently Asked Questions: Microsoft Security Bulletin MS00-030、 http://www.microsoft.com/technet/security/bulletin/fq00-030.asp Microsoft Knowledge Base Q260205 は、この問題を説明する ものであり、まもなく公開されます。 RFC 2396、Uniform Resource Identifiers (URI): Generic S yntax、 http://www.ietf.org/rfc/rfc2396.txt. Microsoft TechNet Security web サイト、 http://www.microsoft.com/technet/security/default.asp ********************************************************* 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを 送信してください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただけます。 また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。