セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

Reproduction of IIS 5.0 IPP ISAPI 'Host:' Buffer Overflow Vulnerability

2001年5月7日 | 注意喚起

SNS Advisory No.25

Published: 7 May 2001

概要

弊社SNS(セキュアネットサービス)チームは、日本語版Microsoft Internet Information Services 5.0に対して、2001年5月1日にeEye Digital SecurityによってBugtraqメーリングリストに報告されたバッファオーバーフローの問題を再現することに成功しました。

Buffer Overflow攻撃が成立する条件

2001年5月1日、Microsoft社製のInternet Information Services 5.0に関して、バッファオーバーフローを発生させてしまう問題が報告されました。これは、Microsoft Internet Information Services 5.0の機能のうちのひとつであるIPP(Internet Printing Protocol)を利用するための.printer ISAPI Extensionには、特定のHTTPヘッダ中に長い文字列を含んだリクエストをクライアントから送信された場合、バッファオーバーフローを発生させてしまう問題です。

再現方法

Bugtraqメーリングリストをはじめとする複数のメーリングリストにこの問題の再現コードが投稿されていますが、これらは英語版のInternet Information Services 5.0のみで再現可能なものでした。今回我々が再現に成功したものは、日本語版Internet Information Services 5.0に対するものです。

再現用ソフトウェアの実行
Fig1.再現用ソフトウェアの実行
TeraTermを使用し,ターゲットホストの80番ポートに接続
Fig2.TeraTermを使用し,ターゲットホストの80番ポートに接続
ターゲットホストに接続
Fig3.ターゲットホストに接続(コマンドプロンプトが表示されている)
echoコマンドを利用して,sns.htmを作成
Fig4.echoコマンドを利用して,sns.htmを作成
作成したsns.htmをリモートから表示
Fig5.作成したsns.htmをリモートから表示

脆弱性確認用ソフトウェアの配布

この問題が与えてしまう影響が非常に深刻なことを考え、我々SNSチームは今回この脆弱性を確認するためのソフトウェアを一般に公開することを決定いたしました。ローカルからこのソフトウェアを実行させることで、C:\winnt\system32\hi.txtが自動的に作成されます。\winnt\system32ディレクトリは通常、一般ユーザに書き込み権限はありません。

ただし、このソフトウェアの適用成果については、我々SNSチームおよび、株式会社ラックは一切責任を負わないものとします。

確認用ツールURL

/lacwatch/zip/iisPrinter.zip

MD5(iisPrinter.zip) = 3d64653bddea7398ef98df9aa6c64c13

確認用ソフトウェアを利用し.C:\winnt\system32\hi.txtを作成
Fig6.確認用ソフトウェアを利用し.C:\winnt\system32\hi.txtを作成

再現に成功したプラットホームのオペレーティングシステム、およびソフトウェアバージョンの組み合わせ

日本語版 Windows 2000 Server + Internet Information Services 5.0
日本語版 Windows 2000 Server + Internet Information Services 5.0 + SP1

パッチ情報

以下からパッチをダウンロードし、これを適用することでこの問題を解消することができます。

英語版 Microsoft Windows 2000 Server、およびAdvanced Server用:

http://download.microsoft.com/download/win2000platform/Patch/q296576/NT5/EN-US/Q296576_W2K_SP2_x86_en.EXE

日本語版 Microsoft Windows 2000 Server、およびAdvanced Server用(x86用):

http://download.microsoft.com/download/win2000platform/Patch/q296576/NT5/JA/Q296576_w2k_sp2_x86_JA.EXE

日本語版 Microsoft Windows 2000 Server、およびAdvanced Server用(NEC PC9800シリーズ用):

http://download.microsoft.com/download/win2000platform/patchNEC/q296576/NT5/JA/Q296576_w2k_sp2_NEC98_JA.EXE

代替案

以下の手順で.printerへのISAPI Extensionのマッピングを削除することでこの問題を回避することができます。

  1. インターネットサービスマネージャを開きます。
  2. Webサーバを右クリックし、プロパティを選択します。
  3. マスタプロパティを選択します。
  4. 『WWWサービス』を選択し、『編集』をクリックします。次に『ホームディレクトリ』タブをクリックしてから、『構成』をクリックします。
  5. 「.printer」をクリックして、『削除』をクリックします。
printerの削除
Fig7..printerの削除

ISAPIExtensionのマッピングを削除しても復活する場合

グループポリシーの『Webベース印刷』が有効になっている場合マッピングを削除したとしてもマッピングが復活してしまうという問題があります。この場合、以下の手順を踏み.printerへのマッピングの削除が可能です。

  1. 『スタート』の『ファイル名を指定して実行』からmmcと入力する。
  2. Microsoft Management Consoleが起動するので、『コンソール』->『開く』から、%Systemroot%\system32\gpeditを選択する。
  3. 『コンピュータの構成』->『管理用テンプレート』->『プリンタ』から、『Webベース印刷』の設定を確認する。有効になっている場合はこれを無効にする。また、強制的に無効にしたい場合は、以下のレジストリの値に0x1のDWORD値を設定することで可能になります。

HKLM\Software\Policies\Microsoft\Windows NT\Printers\DisableWebPrinting

マッピングが復活してしまう場合の対処法
Fig8.マッピングが復活してしまう場合の対処法

関連情報

ISAPIエクステンションの未チェックのバッファによりIIS 5.0 Serverのセキュリティが侵害される(MS01-023):

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-023

Microsoft Security Bulletin MS01-023:

http://www.microsoft.com/technet/security/bulletin/ms01-023.asp

eEye Digital Security:

http://www.eeye.com/html/Research/Advisories/AD20010501.html

SecurityFocus:

http://www.securityfocus.com/bid/2674

CERT Advisory:

http://www.cert.org/advisories/CA-2001-10.html

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top