Landscape トップページ | < 前の日 2004-10-05 2004-10-07 次の日 2004-10-08 >

Landscape - エンジニアのメモ 2004-10-07

ASP.NET に脆弱性 - Knowledge Base 887459


* ASP.NET に脆弱性 - Knowledge Base 887459

この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [.net]

887459 - ASP.NET の正規化の問題をプログラムによって確認する方法
http://support.microsoft.com/?scid=kb;ja;887459
MSDN の RSS http://www.microsoft.com/japan/msdn/rss.xml から。

- 脆弱性の概要

MS のサイトを読んだが、明確に書いてないので意図がわかりにくい。私は以下のように解釈した。

変な URL でリクエストされたとき、ASP.Net が予想外の処理をしてしまうという脆弱性が見つかった。これを回避するコードを Global.asax に組み込むことを推奨。現在 MS はパッチを作成中。

組み込むコードは以下の通り。

887459 - ASP.NET の正規化の問題をプログラムによって確認する方法
http://support.microsoft.com/?scid=kb;ja;887459
次のサンプル コードでは、Application_BeginRequest イベント ハンドラを Global.asax ファイルに追加する方法を例示します。このイベント ハンドラを使用すると、パスの検証を実行することで無効な文字や不審な URL を防御し、正規化に関する一般的な問題に対する保護機能が強化されます。

Global.asax のサンプル コード (C# 用)
<script language="C#" runat="server">
void Application_BeginRequest(object source, EventArgs e) {
    if (Request.Path.IndexOf('\\') >= 0 ||
        System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) {
        throw new HttpException(404, "not found");
    }
}
</script>

- 脆弱性の詳細がわからない

ASP.Net を使っている場合にまずいことになりそうというのは伝わってくるんだけど、それ以上のことがわからない。ASP.Net のアーキテクチャ自体に脆弱性があるのか。特定のクラスに脆弱性が発見されたのか。セキュリティに疎いプログラマが書いた、もともと脆弱性のあるロジックを ASP.net がかばいきれなくて脆弱性が露見するのか、とても曖昧だ。

以下の文書はとても恒久的なものとは思えない URL で公開されているので、大部分を引用しておく。

報告された Microsoft ASP.NET の脆弱性に関する情報
http://www.microsoft.com/japan/security/incident/aspnet.mspx
公開日: 2004 年 10 月 5 日

マイクロソフトは、現在報告された Microsoft ASP.NET の脆弱性に関する調査を行っています。攻撃者は、特別な細工がされたリクエストをサーバーに送信し、適切な資格情報なしで、セキュリティで保護されたコンテンツを表示する可能性があります。この報告された脆弱性は、ASP.NET に存在するもので、ASP には影響はありません。

この問題は、Microsoft Windows 2000 Professional、Windows 2000 Server、Windows XP Professional、Windows Server 2003 上で ASP.NET のすべてのバージョンを実行している Web コンテンツ オーナーに影響が及びます。

根本的な問題は、ASP.NET で、URL の適切な標準化が行われないというものです。 マイクロソフト サポート技術情報 887459 には、今回報告された脆弱性に関する問題など、共通の標準化の問題から保護する ASP.NET アプリケーションに対する保護策に関して説明されています。

マイクロソフトは、Web サイトのオーナーおよび開発者がマイクロソフト サポート技術情報 887459 に記載された推奨策を読み、この問題の影響を緩和するためのセキュリティ更新プログラムの実装を見据えた対応を行うことを推奨いたします。サポート技術情報 887459 に記載されたガイダンスを ASP.NET アプリケーションに適用することにより、マイクロソフトに報告されたすべての標準化の問題からアプリケーションを保護することができます。

- 2004-10-09 追記

パッチというか、回避用のコンポーネントがリリースされた模様。

ASP.NETのぜい弱性を回避するプログラムを公開 : IT Pro ニュース
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20041008/2/
今回の問題は,クライアントからURLとして指定された情報から,実際にアクセスすべきディスク上のファイルのファイル名を生成する部分に存在する。Microsoftは,この問題に関して調査中だとしており,これまではプログラムを修正することによる対処法をWebサイトで示していただけだった。

 しかし,10月8日からこの問題を回避するためのプログラムの提供を開始。MicrosoftのWebサイトからダウンロードしたMSIファイルをインストールすると,.NETのグローバル・アセンブリ・キャッシュ(GAC)にMicrosoft.Web.ValidatePathModule.dllファイルを追加する。そして,ASP.NETの設定ファイルであるmachine.configファイルを,HTTPモジュールとしてMicrosoft.Web.ValidatePathModule.dllをロードするよう,書き換える。これによって,ASP.NETプログラムを変更することなく,この問題を回避できるようになる。

887289 - HTTP module to check for canonicalization issues with ASP.NET
http://support.microsoft.com/?kbid=887289

すべての記事の見出し (全1029件)
全カテゴリの一覧と記事の数
カテゴリごとに記事をまとめ読みできます。記事の表題だけを見たい場合は、すべての記事の見出し (カテゴリ別表示) へ。

直近30日分の記事
2007-04-23 (Mon)
2007-03-07 (Wed)
2007-02-27 (Tue)
2007-01-17 (Wed)
2007-01-15 (Mon)
2007-01-14 (Sun)
2007-01-08 (Mon)
2006-12-01 (Fri)
2006-11-22 (Wed)
2006-11-20 (Mon)
2006-11-19 (Sun)
2006-09-30 (Sat)
2006-08-29 (Tue)
2006-08-04 (Fri)
2006-07-27 (Thu)
2006-07-23 (Sun)
2006-07-17 (Mon)
2006-07-10 (Mon)
2006-07-06 (Thu)
2006-07-03 (Mon)
2006-06-29 (Thu)
2006-06-28 (Wed)
2006-06-27 (Tue)
2006-06-25 (Sun)
2006-06-19 (Mon)
2006-06-18 (Sun)
2006-06-15 (Thu)
2006-06-11 (Sun)
2006-06-01 (Thu)
2006-05-30 (Tue)
プロファイル
斎藤 宏明。エンジニアです。宇都宮市に住んでいます。
リンク
RSS
スポンサードリンク
Powered by
さくらインターネット

© 斎藤 宏明 Saito Hiroaki Gmail Address
Landscape - エンジニアのメモ http://sonic64.com/
Landscape はランドスケープと読みます。
ひらがなだと らんどすけーぷ です。