【ソフトウェア】情報漏えいなどの恐れ…IISに未パッチの脆弱性か、エクスプロイトも出回る[09/05/19]

このエントリーをはてなブックマークに追加
1依頼@台風0号φ ★:2009/05/20(水) 00:35:11 ID:???
 米US-CERTは5月18日、Microsoft Internet Information Services 6(IIS6)の脆弱性情報が公開され、
エクスプロイトコードが出回っていると伝えた。

 IIS6の脆弱性情報についてはSANS Internet Storm Centerやセキュリティ企業のSecuniaも報告
している。各社の情報を総合すると、脆弱性は、認証が必要なディレクトリのWebDAVリクエストを
処理する際のエラーに起因する。

 この問題を悪用すると、特定のUnicode文字をURLに付け加えることによってフォルダのアクセス制限を
かわすことが可能になり、リモートの攻撃者が重要情報を入手したり、任意のファイルをアップロード
することが可能になる。

 脆弱性はIIS6に存在するとされ、Secuniaは完全にパッチを当てたWindows XP SP3上のIIS 5.1でも
確認したと報告している。Secuniaの深刻度評価は5段階で中程度の「Moderately critical」となっている。

 この問題を突いたエクスプロイトコードが出回り、実際に悪用されているとの情報もあるが、Microsoftの
公式パッチはまだ公開されていない。


▽ソース:ITmedia (2009/05/19 07:58)
http://www.itmedia.co.jp/enterprise/articles/0905/19/news019.html
2名刺は切らしておりまして:2009/05/20(水) 00:40:59 ID:2MrS2y22
Windowsで鯖立てるなと言うつもりはないが
IISだけはやめといたほうが良くね?
バグや脆弱性以前に仕様で死ぬって
3名刺は切らしておりまして:2009/05/20(水) 00:51:40 ID:7XaYZ0B3

MSはいつも、オープンソースはプログラムが公開されてるから危ないとかいうくせに
何でいつもセキュリティホールやられるのは自社のクローズドソースなんだろうね?w

4名刺は切らしておりまして:2009/05/20(水) 00:57:20 ID:2MrS2y22
オープンソースでもクローズドソースでもたいして変わらないよ
MSを揶揄する暇があったら自分が使っているソフトのレビューでもしたほうがいい
他をこきおろして悦に入るのは下劣なApple信者だけでたくさんだ
5名刺は切らしておりまして:2009/05/20(水) 01:02:13 ID:sYzfLwDy
また来週も、午前2時にパッチを当てる作業がはじまるお
6名刺は切らしておりまして:2009/05/20(水) 01:21:02 ID:atTqxK+e
>>2

課内鯖の管理やってるが、httpdはApache使ってるww


>>5

自動実行にしときゃいいだろ。
7名刺は切らしておりまして:2009/05/20(水) 01:30:04 ID:8Mhx0XZb
>>2
サービスのパッチ当て程度でハードごとリブートが必要な
時点でWindows鯖はありえんw
8名刺は切らしておりまして:2009/05/20(水) 01:43:14 ID:5V3gBJOT
>>1
WebDav殺してたらOKかぬ?
9名刺は切らしておりまして:2009/05/20(水) 01:48:28 ID:FBuOHxP1
Unicode文字の扱いが以前から曖昧な気がしてたんだよな
10名刺は切らしておりまして:2009/05/20(水) 02:32:31 ID:ZUZRbKPA
去年の前半まではApacheよりもIISのシェアの方が伸びてたけど
結局最近はApacheの方が伸びてるんだよね
11名刺は切らしておりまして:2009/05/20(水) 02:37:51 ID:DbetkR7W
>>10
でもそのIISの「伸びたシェア」っていうのもあくまでも金額ベースでの話だから、
Windows鯖使ってボッタくればボッタくるほど伸びるっていうおかしな調査なんだけどねw
12名刺は切らしておりまして:2009/05/20(水) 07:48:38 ID:eNZrzcs9
このご時世でIISで鯖立てなんて自殺行為以外のなにものでもないだろ。
13名刺は切らしておりまして:2009/05/20(水) 20:29:33 ID:OnaYOGJW
IISでは良く有る事

>>2
よくわからん奴が管理するならそこそこ扱える分、他のOSよりマシな部分も有る。
が、よくわからん奴に鯖管理させると大抵IISを使ってやらかす。

よくわからん奴に鯖管理させるくらいなら管理を業者任せのレンタルにしとけって話。
14名刺は切らしておりまして:2009/05/20(水) 22:51:02 ID:kPk0nXML
ダメだこりゃ
15名刺は切らしておりまして:2009/05/21(木) 13:48:01 ID:HSn0h+Zi

IISサーバの脆弱性を狙った攻撃、米大学で発生か--The Register報道

http://japan.cnet.com/news/sec/story/0,2000056024,20393484,00.htm

16名刺は切らしておりまして:2009/05/22(金) 00:58:10 ID:mBSwHaJE
これやばくね?
17名刺は切らしておりまして:2009/05/22(金) 01:33:34 ID:K8oBPmXF
MS製品はこんなんばっかだな
18名刺は切らしておりまして:2009/05/22(金) 07:08:58 ID:IOWRNKvP
IISで鯖立てって一種の拷問だよなw
19名刺は切らしておりまして:2009/05/22(金) 12:27:15 ID:oidBuz8x
Windows鯖(笑)
20名刺は切らしておりまして:2009/05/22(金) 18:33:55 ID:X2D9xOgZ
高いライセンス料払ってこのボロボロっぷりはありえん。
21名刺は切らしておりまして:2009/05/23(土) 07:37:26 ID:vuZm2x4s

ゴミ
22名刺は切らしておりまして:2009/05/23(土) 22:52:26 ID:TIwyHQy6
金払って手間ばかり増えるクズ製品
23名刺は切らしておりまして:2009/05/24(日) 22:19:22 ID:XQv//q//
24名刺は切らしておりまして:2009/05/24(日) 22:25:26 ID:zTMZdMtH
>>18
2度ほどやった事あるけど、苦行でしかなかったな。
自分がやってる事が何なのかに自信が持てない上、ろくに情報を見つけられない。
25名刺は切らしておりまして:2009/05/24(日) 22:35:14 ID:lwcyRtvK
パッチ充てと頻繁なシステムのアップデイトが洒落にならなかったな。
サーバごと再起動になるし、セキュリティがらみだとOSごと環境
が変わってしまうからアップデイトの一回一回がすげーギャンブル。
26名刺は切らしておりまして:2009/05/24(日) 23:43:40 ID:NEFOibtA
中国や韓国のサーバを見ると
まあ、8〜9割がた IIS/Windows2003 みたいな構成だな。

で、おそらくそのほとんどは違法コピーで
当然パッチあてなどはしてないものと見受けられる。
27名刺は切らしておりまして:2009/05/24(日) 23:49:48 ID:H/mlg43/
kakaku.com、sofmap、ナチュラム等、IIS由来の大規模漏洩やら障害やらかして
いるのに未だにIISを使い続ける所って狂ってる
28名刺は切らしておりまして:2009/05/24(日) 23:54:47 ID:yjTUFYbI
>>27
客の安全なんかどうでもいいと思ってるんしょ。
29名刺は切らしておりまして:2009/05/25(月) 11:51:33 ID:N34KLTBC
いらね
30名刺は切らしておりまして:2009/05/25(月) 12:41:17 ID:S/BW+REP
まぁ、実際にこのバグで何かハッキングや情報のやりとり
などができるわけではないのだが。。匿名のIUSR_アカウントに
書き込み許可してる設定とか現実ありえないし。
31名刺は切らしておりまして:2009/05/25(月) 13:25:54 ID:B7FN5McB

IISサーバの脆弱性を狙った攻撃、米大学で発生か--The Register報道

http://japan.cnet.com/news/sec/story/0,2000056024,20393484,00.htm


32名刺は切らしておりまして:2009/05/25(月) 15:20:48 ID:EmyvdInh
また韓国がえらいことになりそうな予感w
33名刺は切らしておりまして
いや今回はならないっぽい
WebDAVモジュールがデフォルトじゃインスコされないから
そのせいで大学とか下手に判ってる所だけがやられてる