報告された Microsoft ASP.NET の脆弱性に関する情報

公開日: 2004 年 10 月 5 日 | 更新日: 2005 年 2 月 9 日

マイクロソフトは、ASP.NET に存在する脆弱性の報告を受け、セキュリティ更新プログラムを作成しました。この報告では、攻撃者は、ASP.NET アプリケーションを実行している Web サーバーに特別な細工がされたリクエストを送信し、フォーム ベースの認証、または Windows の承認設定をすり抜け、適切な資格情報なしで、セキュリティで保護されたコンテンツを表示する可能性があります。対策の為のセキュリティ更新プログラムの情報は、セキュリティ情報 MS05-004 をご覧ください。

マイクロソフトは、ASP.NET を実行しているすべての Web コンテンツのオーナーおよび開発者に対し、セキュリティ情報 MS05-004 に従い、セキュリティ更新を適用することを推奨しますが、すぐに適用できない場合は、以下の予防措置を行ったうえで、早期にセキュリティ更新を適用することを推奨いたします。

注: この問題を緩和する選択肢として、HTTP モジュール インストーラを使用できます。緩和策としてこのモジュールが使用できることになったのをお知らせするために、このページは 2004 年 10 月 7 日 (米国日付) に更新されました。このモジュールは、Web サーバー上の全 ASP.NET アプリケーションを、マイクロソフトが現時点で把握しているすべての正規化の問題から保護します。さらに情報やリソースを公開できるようになれば、順次このページを更新する予定です。

Web サイト管理者のためのガイダンス

マイクロソフトでは、現時点で既知の URL 正規化の問題から、サーバー上の全ての ASP.NET アプリケーションを保護する、HTTP モジュールをリリースしました。このモジュールは、Web サイトの管理者が適用できます。このモジュール、および詳細なガイダンスと展開に関する情報は、マイクロソフト ダウンロード センターから入手できます。

• Microsoft ASP.NET ValidatePath モジュール (VPModule.msi) (英語)

サーバーを保護するために、このモジュールをインストールおよび展開する方法の詳細については、マイクロソフト サポート技術情報 887289 をご覧ください。

ASP.NET 開発者のためのガイダンス

注: HTTP モジュールをインストールする場合、このガイダンスは不要です。

マイクロソフトは、Web サイトのオーナーおよび開発者は、マイクロソフト サポート技術情報887459 「ASP.NET の正規化の問題をプログラムによって確認する方法」に記載された推奨策を実装し、この問題の影響を緩和するため対応を行うことを推奨いたします。サポート技術情報 887459 に記載されたガイダンスを ASP.NET アプリケーションに適用することにより、現時点でマイクロソフトに報告されたすべての URL 正規化の問題から、アプリケーションを保護することができます。

この種類のセキュリティ問題からお客様を保護するためのガイダンスの他に、マイクロソフトは、ASP.NET にセキュリティ更新プログラムを提供するための作業を行っています。その更新プログラムにより、お客様に追加の保護策が提供されます。マイクロソフトは、その更新プログラムの展開のための品質のレベルが適切なものになった後、その更新プログラムをリリースする予定です。

セキュリティ戦略の開発

組織に合わせたセキュリティ戦略の計画、管理を支援するための技術ガイド、ツール、トレーニング、更新プログラムに関しては、以下のサイトから入手してください。

• セキュリティ ガイダンス センター 開発者および IT プロフェッショナル向け