IIS 5.0/5.1/6.0に未対策の脆弱性発覚
マイクロソフトが、インターネットインフォメーションサービス(IIS)に存在する可能性のある新たな脆弱性についてのセキュリティ アドバイザリを発表した。
対象となるのはWindows 2000およびXP、Server 2003に搭載されているIIS 5.0/5.1/6.0で、Windows VistaおよびServer 2008のIIS 7.0についてはこの脆弱性は確認されていないとのこと。
この脆弱性は、WebDAV拡張がリクエストされたURLを正しくデコードしないことが原因で起こります。そのため、リクエストを処理する際にWebDAVが誤った構成を適用します。適用された構成が匿名アクセスを許可した場合、悪質なリクエストが認証を回避します。
とのことで、この脆弱性を突くことで認証なしにサーバーにファイルをアップロードしたり、アクセスに認証が必要なファイルに対して認証なしでアクセスが可能になる可能性がある。
マイクロソフトはこの問題を修正するパッチを提供する予定とのことだが、パッチが提供されるまではWebDAVを無効にする、ファイルシステムのACL設定を変更して匿名ユーザーによるアクセスを拒否する、といった対策が推奨されている。