HOME情報セキュリティ緊急対策情報Microsoft IIS の FTP サービスの脆弱性(MS09-053)について

本文を印刷する

情報セキュリティ

Microsoft IIS の FTP サービスの脆弱性(MS09-053)について

第09-42-166号

最終更新日:2009年10月14日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

マイクロソフト社の IIS (Internet Information Service) (*1) のFTP (File Transfer Protocol) サービス(*2) にリモートからコード(命令)を実行される脆弱性(975254)(MS09-053)が存在します。

    (1)IIS の FTP サービスの DoS の脆弱性         - CVE-2009-2521
    (2)IIS の FTP サービスの RCE および DoS の脆弱性  - CVE-2009-3023

攻撃者がこの脆弱性を悪用した攻撃を対象システムの FTP サービスに送ると、攻撃者がユーザのパソコンを制御したり、サーバをダウンさせたりできるようになります。

これらの脆弱性を悪用した攻撃が既に確認されていますので、至急、対処して下さい。

注(*1) マイクロソフト社のWindows 上で動作するウェブサーバ機能です。ファイル転送サービス(FTP)、ネットワークニュースサービス(NNTP)、メール転送サービス(SMTP)などの機能を含みます。
注(*2) ファイル転送機能です。anonymous(匿名)でのログインを可能にしている場合は、誰でも利用することができます。

対象

  • Windows 2000
  • Windows XP
  • Windows Vista
  • Windows Server 2003
  • Windows Server 2008

    上記OSにインストールされた、以下のプログラムが対象です。

  • IIS 5.0 の FTPサービス 5.0
  • IIS 5.1 の FTPサービス 5.1
  • IIS 6.0 の FTPサービス 6.0
  • IIS 7.0 の FTPサービス 6.0

対策

1. 脆弱性の解消 - 修正プログラムの適用 -

マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

  • Microsoft Update による一括修正方法

    Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
    http://windowsupdate.microsoft.com/

    Microsoft Update の利用方法については以下のサイトを参照してください。
    http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

    なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

  • 個別の修正プログラムをダウンロードしてインストールする方法

    下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
    http://www.microsoft.com/japan/technet/security/bulletin/ms09-053.mspx

2. 回避策

マイクロソフト社から提供される情報を参照して下さい。

参考情報

更新履歴

2009年10月14日 掲載