文書番号: 890621 - 最終更新日: 2005年1月14日 - リビジョン: 1.2

インデックス サービスの脆弱性によりリモート コードが実行される問題の回避策

対象製品
すべて展開する | すべて折りたたむ

はじめに

インデックス サービスに存在する脆弱性が原因で、リモートでコードが実行されることがあります。この脆弱性は、62 文字を超える特殊な形式のクエリを使用することで発生します。この脆弱性は、セキュリティ更新プログラム 871250 を適用することによって修正されます。この資料では、セキュリティ更新プログラム 871250 が適用されていないコンピュータで、攻撃者によってこの脆弱性が悪用されることを防止するのに役立つ方法について説明します。
先頭へ戻る

詳細


オペレーティング システムの SDK (Software Development Kit) には、インデックス サービスに対して照会を行うサンプル コード (Query.asp) が含まれています。Query.asp では、Microsoft インターネット インフォメーション サービス (IIS) およびインデックス サービスの IXSSO クエリ オブジェクトを使用します。以下の例に太字で記載されている行は、Query.asp に追加することによってクエリの長さを制限できるコードです。このコードを追加すると、この資料に記載されている脆弱性が悪用されることを防止できます。他のオペレーティング システムの SDK のクエリ ページも同様の方法で更新することができます。 
    if right(SearchString, 1) = chr(34) then
            SrchStrLen = SrchStrLen-1
            SearchString = left(SearchString, SrchStrLen)
    end if
    SrchStrLen = len( SearchString )
    if SrchStrLen > 60 then
            SrchStrLen = 60
            SearchString = left( SearchString, 60 )
    end if
    if Advanced<> "on" then
      CompSearch = "{freetext} " &  SearchString & "{/freetext}"
    else
      CompSearch = SearchString
    end if
    set Q = Server.CreateObject("ixsso.Query")
    set Util = Server.CreateObject("ixsso.Util")

セキュリティ更新プログラム 871250 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
871250  (http://support.microsoft.com/kb/871250/ ) [MS05-003] インデックス サービスの脆弱性により、コードが実行される
先頭へ戻る

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 890621  (http://support.microsoft.com/kb/890621/EN-US/ ) (最終更新日 2005-01-11) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
先頭へ戻る
キーワード: 
kbhowto kbinfo kbsecurity kbadmin kbexpertiseadvanced KB890621
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
 

サポート技術情報の翻訳

製品別 サポート ページ