公開日:2002/11/19 最終更新日:2002/11/19

JVNCA-2002-09
Microsoft IIS に複数の脆弱性

概要

Microsoft IISに複数の脆弱性があります。最も深刻な脆弱性については、遠隔から任意のコードを実行される可能性があります。
* チャンクされたエンコード メカニズムのバッファのオーバーラン
* チャンクされたエンコードのバッファのオーバーランのマイクロソフトが確認した変種
* HTTP ヘッダー処理のバッファのオーバーラン
* ASP サーバー側インクルード機能のバッファのオーバーラン
* HTR ISAPI エクステンションのバッファのオーバーラン
* URL エラー処理のアクセス違反
* FTP 状態リクエストによるサービス拒否
* IIS ヘルプ ファイル検索機能のクロスサイト スクリプティング
* HTTP エラー ページのクロスサイト スクリプティング
* リダイレクト応答メッセージのクロスサイト スクリプティング

影響を受けるシステム

詳細情報

想定される影響

遠隔から第三者が任意のコードを IIS 上で実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Cisco Microsoft IIS Vulnerabilities in Cisco Products - MS02-018
富士通 CA-2002-09に対する富士通の情報
富士通 CA-2002-09に対するSolaris OEの情報
マイクロソフト Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

参考情報

  1. CERT Vulnerability Note VU#363715
    Microsoft Internet Information Server (IIS) vulnerable to heap overflow during processing of crafted ".htr" request by "ISM.DLL" ISAPI filter
  2. CERT Vulnerability Note VU#883091
    Microsoft Internet Information Server (IIS) contains cross-site scripting vulnerability in IIS Help Files search facility
  3. CERT Vulnerability Note VU#886699
    Microsoft Internet Information Server (IIS) contains cross-site scripting vulnerability in HTTP error page results
  4. CERT Vulnerability Note VU#520707
    Microsoft Internet Information Server (IIS) contains cross-site scripting vulnerability in redirect response messages
  5. CERT Vulnerability Note VU#412203
    Microsoft Internet Information Server (IIS) vulnerable to DoS via malformed FTP connection status request
  6. CERT Vulnerability Note VU#454091
    Microsoft Internet Information Server (IIS) vulnerable to buffer overflow via inaccurate checking of delimiters in HTTP header fields
  7. CERT Vulnerability Note VU#721963
    Microsoft Internet Information Server (IIS) buffer overflow in server-side includes (SSI) containing long invalid file name
  8. CERT Vulnerability Note VU#521059
    Microsoft Internet Information Server (IIS) vulnerable to DoS when URL request exceeds maximum allowed length
  9. CERT Vulnerability Note VU#610291
    Microsoft Internet Information Server (IIS) buffer overflow in chunked encoding transfer mechanism
  10. CERT Vulnerability Note VU#669779
    Microsoft Internet Information Server (IIS) buffer overflow in chunked encoding transfer mechanism
  11. CIAC Bulletin M-066
    Microsoft Cumulative Patch for Internet Information Services (IIS) Vulnerabilities
  12. Internet Security Systems
    Microsoft IIS でのリモートで利用可能な複数の脆弱点
  13. ラック
    CERT Advisory CA-2002-09 Multiple Vulnerabilities in Microsoft IIS [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-1401
JPCERT/CC REPORT 2002-04-17
CERT Advisory CERT Advisory CA-2002-09
Multiple Vulnerabilities in Microsoft IIS
CPNI Advisory
TRnotes
CVE CVE-2002-0071
VU#363715,XF8799
JVN iPedia