CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-12

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-12
IISにおいて余分なデコードを行なうことから来る脆弱性

Original release date: May 15, 2001
Last revised: --
Source: CERT/CC

A complete revision history is at the end of this file.

影響のあるシステム

  • Microsoft IISを動作させているシステム

概要

Microsoft IISに重大な脆弱性があり、リモートからの侵入者が IISウェブサーバ上で任意のコマンドを実行できるようになることがある。 この脆弱性は、これまでに広く付け入られてきたIISの既知の脆弱性と きわめて類似している。CERT/CCはIIS管理者がこの脆弱性を修正する 対処を行なうことを強く推奨するものである。

I. 記述

URIはRFC 2396に従って エンコードされるものである。特にこのRFCは%記号と16進文字を使って 任意のオクテット文字をエンコードする方法を提示している。

RFC 2396からの引用:

エスケープされるオクテットは3文字でエンコードされる。1文字目は %記号であり、その後にそのオクテットのコードを表す2文字の16進数が 続く。例えば、"%20"はUS-ASCIIのスペース文字を表す。

escaped = "%" hex hex
hex = digit | "A" | "B" | "C" | "D" | "E" | "F"

他のあらゆるウェブサーバと同様に、Microsoft IISは入力されたURIを決まった書式に デコードする。そこで、エンコードされた記号列

A%20Filename%20With%20Spaces
A Filename With Spaces
にデコードされる。

ところが困ったことにIISは入力されたものによっては二度デコード してしまう。この2つ目のデコードは余計である。セキュリティチェックは 1つ目のデコードしかチェックしないが、IISは2つ目のデコード結果を 利用するようになっている。1つ目のデコードがセキュリティチェックに パスし、2つ目のデコード結果が妥当なファイルを指していた場合、 本来そうであるべきでなくとも、そのファイルへのアクセスは許可されて しまう。さらに詳しい情報は以下で得られる。

http://www.microsoft.com/technet/security/bulletin/MS01-026.asp
http://www.nsfocus.com/english/homepage/sa01-02.htm
http://www.kb.cert.org/vuls/id/789543

ただし、侵入者はIISが行なう唯一のセキュリティチェックである ファイルシステムが強制するACLを避けて通る ことはできない。我々はウェブサーバを次の文書群で提供されるガイドライン に従って設定することを推奨する。

http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/iischk.asp
http://www.microsoft.com/technet/security/tools.asp

こうしたガイドラインに従うことで、この問題に対する危険性(exposure)を減らし、 かつ、まだ現時点では見つかっていない問題にも対処できるであろう。

この問題はNSFocusが発見した。

CVEプロジェクトはこの脆弱性に対して次の識別番号を割り当てている。

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0333

この脆弱性はWeb Server Folder Directory Traversal Vulnerability,と類似点が多い。Web Server Folder Directory Traversal Vulnerability,は既に広く付け入られてきた脆弱性 である。これについては次の文書を参照せよ。

http://www.kb.cert.org/vuls/id/111677

II. 影響

侵入者はIUSR_machinenameアカウントに付与された権限で任意の コマンドを実行できる。

III. 解決策

ベンダが発行する修正パッチを適用せよ

Microsoftからの修正パッチに関する情報は以下で得られる。

http://www.microsoft.com/technet/security/bulletin/MS01-026.asp

IISウェブサーバをセキュアにすることに関しては次の文書でさらに助言を得られる。

http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp

Appendix A. ベンダ情報

Microsoft Corporation

Microsoftからは次の文書がこの脆弱性について発行されている。:

http://www.microsoft.com/technet/security/bulletin/MS01-026.asp
著者:  Shawn Hernan.

この文書の原文は以下で入手できる。
http://www.cert.org/advisories/CA-2001-12.html

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

May 15, 2001: Initial Release (2001年7月28日現在、変更なし)
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 今年度の本プロジェクト開始より以前の文書であるため、遡及して和訳したものである。

本和訳の改訂履歴
2001年7月28日午後3時 (JST) 初版公開

訳者並びに連絡先: 橋本喜代太