WebDAVに存在:MicrosoftがIISの脆弱性を確認、権限昇格の恐れ - ITmedia エンタープライズ(情報元のブックマーク数)
WebDAVの脆弱性だったとのこと、アドバイザリーが出ているそうです。
Microsoft Internet Information Services(IIS)の脆弱性が明らかになった問題で、米Microsoftがこの脆弱性の存在を認め、5月18日付でアドバイザリーを出した。
MicrosoftがIISの脆弱性を確認、権限昇格の恐れ - ITmedia エンタープライズ
Microsoftによると、IISのWebDAV拡張機能でHTTPリクエストを処理する方法に権限昇格の脆弱性が存在する。この問題を悪用すると、細工を施した匿名HTTPリクエストを使って、通常なら認証が必要なロケーションにアクセスすることができてしまう。
影響を受けるのはIIS 5.0、5.1、6.0。Microsoftは調査を完了した時点で、月例パッチまたは臨時パッチの配布を含め、適切な措置を取る方針。それまでの回避策として、アドバイザリーではWebDAVを無効にするなどの方法を紹介している。
関連URL
- マイクロソフトがIISの脆弱性に関するアドバイザリを公開 - Zero Day - ZDNet Japan
- マイクロソフト セキュリティ アドバイザリ (971492): インターネット インフォメーション サービスの脆弱性により、特権が昇格される
- MSFN - Microsoft warns of new server vulnerability
- Security Research & Defense : More information about the IIS authentication bypass
- JVNVU#787932: Microsoft IIS 6.0 WebDAV における認証回避の脆弱性