情報源
US-CERT Vulnerability Note VU#787932
Microsoft IIS WebDAV Remote Authentication Bypass
http://www.kb.cert.org/vuls/id/787932
DOE-CIRC Technical Bulletin T-137
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
http://www.doecirc.energy.gov/bulletins/t-137.shtml
概要
Microsoft Internet Information Services (IIS) の WebDAV 機能には、
Unicode トークンの処理に起因する脆弱性があります。結果として、遠
隔の第三者が細工したリクエストを処理させることで、アクセス制御を
回避してファイルをダウンロードしたり、改ざんしたりするなどの可能
性があります。
対象となるバージョンは以下の通りです。
- Microsoft Internet Information Services 5.0
- Microsoft Internet Information Services 5.1
- Microsoft Internet Information Services 6.0
2009年5月26日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。回避策としては、WebDAV を無効化する、外部か
らの HTTP リクエストをフィルタリングする、ファイルシステムの ACL
を変更するなどの方法があります。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (971492)
インターネット インフォメーション サービスの脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/971492.mspx
Japan Vulnerability Notes JVNVU#787932
Microsoft IIS 6.0 WebDAV における認証回避の脆弱性
http://jvn.jp/cert/JVNVU787932/index.html
