マイクロソフトセキュリティアドバイザリ 2905247

[アーティクル]
12/07/2019

ASP.NET のサイト構成が安全ではないため、特権が昇格される

公開日:2013 年 12 月 11 日 | 最終更新日:2014 年 9 月 10 日

バージョン: 2.0

概説

概要

マイクロソフトは、MAC (Machine Authentication Code) 検証が無効化されている場合の ASP.NET ビューステートの脆弱性を解決する Microsoft ASP.NET 用更新プログラムを公開したことをお知らせします。この脆弱性は、特権を昇格させるもので、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、および Microsoft .NET Framework 4.5/4.5.1 に影響を与える可能性があります。

構成の設定により、ビューステート MAC が無効化されている ASP.NET サイトはすべて、この攻撃を受ける可能性があります。攻撃者はこの脆弱性を悪用し、特別に細工した HTTP コンテンツを使用してコードを挿入し、ASP.NET サーバーのサービスアカウントでこのコードを実行することができます。マイクロソフトは、この脆弱性を悪用するために使用できる一般的な情報が公開されていることを確認していますが、現時点で攻撃が行われていることは確認していません。

問題を緩和する要素:

既定の設定では、ビューステート MAC は ASP.NET サイトで有効にされています。

推奨する対応策: マイクロソフトは、お客様が推奨アクションを行い、ASP.NET サイトで ASP.NET ビューステート MAC が有効化されているか確認することを推奨します。詳細情報は、このセキュリティアドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

脆弱性に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報	ID
マイクロソフトサポート技術情報	2905247
ファイルに関する情報	あり
SHA1/SHA2 ハッシュ	あり
既知の問題	なし

影響を受けるソフトウェア ------------------------ このアドバイザリは次のソフトウェアについて説明しています。 **影響を受けるソフトウェア**

オペレーティングシステム	コンポーネント	置き換わるセキュリティ情報: MS07-022、MS07-066、マイクロソフトセキュリティアドバイザリ (932596)
Windows Server 2003
Windows Server 2003 Service Pack 2	[Microsoft .NET Framework 1.1 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=87256322-0aea-45ac-8306-ee2281b2465a) (2894845)	なし
Windows Server 2003 Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=63b5682b-3554-47a2-82a3-5efbad11c1ac) (2894843)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656352、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2418241
Windows Server 2003 Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2003 x64 Edition Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=63b5682b-3554-47a2-82a3-5efbad11c1ac) (2894843)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656352、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2418241
Windows Server 2003 x64 Edition Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2003 with SP2 for Itanium-based Systems	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=63b5682b-3554-47a2-82a3-5efbad11c1ac) (2894843)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656352、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2418241
Windows Server 2003 with SP2 for Itanium-based Systems	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Vista
Windows Vista Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccdde622-a1e0-4875-b0b6-4473a47d3895) (2894847)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656362、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2416470
Windows Vista Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Vista Service Pack 2	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Vista x64 Edition Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccdde622-a1e0-4875-b0b6-4473a47d3895) (2894847)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656362、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2416470
Windows Vista x64 Edition Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Vista x64 Edition Service Pack 2	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccdde622-a1e0-4875-b0b6-4473a47d3895) (2894847)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656362、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2416470
Windows Server 2008 for 32-bit Systems Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2008 for 32-bit Systems Service Pack 2	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2008 for x64-based Systems Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccdde622-a1e0-4875-b0b6-4473a47d3895) (2894847)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656362、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2416470
Windows Server 2008 for x64-based Systems Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2008 for x64-based Systems Service Pack 2	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2008 for Itanium-based Systems Service Pack 2	[Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=ccdde622-a1e0-4875-b0b6-4473a47d3895) (2894847)	[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656362、[MS10-070](https://go.microsoft.com/fwlink/?linkid=202409) の 2416470
Windows Server 2008 for Itanium-based Systems Service Pack 2	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows 7
Windows 7 for 32-bit Systems Service Pack 1	[Microsoft .NET Framework 3.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=063fe22a-7f71-40dd-89c8-14715d688944) (2894844)	なし
Windows 7 for 32-bit Systems Service Pack 1	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows 7 for 32-bit Systems Service Pack 1	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows 7 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 3.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=063fe22a-7f71-40dd-89c8-14715d688944) (2894844)	なし
Windows 7 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows 7 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 3.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=063fe22a-7f71-40dd-89c8-14715d688944) (2894844)	なし
Windows Server 2008 R2 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2008 R2 for x64-based Systems Service Pack 1	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1	[Microsoft .NET Framework 3.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=063fe22a-7f71-40dd-89c8-14715d688944) (2894844)	なし
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows 8 および Windows 8.1
Windows 8 for 32-bit Systems	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=4bf29d0e-dbb3-4dcf-b1c3-804a2792435f) (2894851)	なし
Windows 8 for 32-bit Systems	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d0264aef-8cb5-4a78-9ecf-b7af4cd46956) (2894855)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901127
Windows 8 for 64-bit Systems	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=4bf29d0e-dbb3-4dcf-b1c3-804a2792435f) (2894851)	なし
Windows 8 for 64-bit Systems	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d0264aef-8cb5-4a78-9ecf-b7af4cd46956) (2894855)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901127
Windows 8.1 for 32-bit Systems	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=94d4eef6-ce33-4621-89a6-e8c72bc2e201) (2894852)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901125
Windows 8.1 for 32-bit Systems	[Microsoft .NET Framework 4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=417bcb2d-018d-4d50-a8e7-58b3908006ab) (2894856)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901128
Windows 8.1 for 64-bit Systems	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=94d4eef6-ce33-4621-89a6-e8c72bc2e201) (2894852)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901125
Windows 8.1 for 64-bit Systems	[Microsoft .NET Framework 4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=417bcb2d-018d-4d50-a8e7-58b3908006ab) (2894856)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901128
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=4bf29d0e-dbb3-4dcf-b1c3-804a2792435f) (2894851)	なし
Windows Server 2012	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d0264aef-8cb5-4a78-9ecf-b7af4cd46956) (2894855)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901127
Windows Server 2012 R2	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=94d4eef6-ce33-4621-89a6-e8c72bc2e201) (2894852)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901125
Windows Server 2012 R2	[Microsoft .NET Framework 4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=417bcb2d-018d-4d50-a8e7-58b3908006ab) (2894856)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901128
Windows RT および Windows RT 8.1
Windows RT	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d0264aef-8cb5-4a78-9ecf-b7af4cd46956) (2894855)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901127
Windows RT 8.1	[Microsoft .NET Framework 4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=417bcb2d-018d-4d50-a8e7-58b3908006ab) (2894856)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901128
Server Core インストールオプション
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)	[Microsoft .NET Framework 3.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=063fe22a-7f71-40dd-89c8-14715d688944) (2894844)	なし
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)	[Microsoft .NET Framework 4](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=be19f8b0-1858-4bf2-b0c0-b1c699f27552)^[1] (2894842)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901110、[MS11-100](https://go.microsoft.com/fwlink/?linkid=232432) の 2656351
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=37a42c6b-92d1-4f4d-95a9-056cf7a461ab) (2894854)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901126
Windows Server 2012 (Server Core インストール)	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=4bf29d0e-dbb3-4dcf-b1c3-804a2792435f) (2894851)	なし
Windows Server 2012 (Server Core インストール)	[Microsoft .NET Framework 4.5/4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=d0264aef-8cb5-4a78-9ecf-b7af4cd46956) (2894855)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901127
Windows Server 2012 R2 (Server Core インストール)	[Microsoft .NET Framework 3.5](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=94d4eef6-ce33-4621-89a6-e8c72bc2e201) (2894852)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901125
Windows Server 2012 R2 (Server Core インストール)	[Microsoft .NET Framework 4.5.1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=417bcb2d-018d-4d50-a8e7-58b3908006ab) (2894856)	[MS14-009](https://go.microsoft.com/fwlink/?linkid=386454) の 2901128

影響を受けないソフトウェア

Microsoft .NET Framework 1.0 Service Pack 3:

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 Service Pack 1

Microsoft .NET Framework 4.5.2

**適用できないソフトウェア**

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

アドバイザリの「よく寄せられる質問」 ------------------------------------ **なぜこのアドバイザリは 2014 年 9 月 10 日に再リリースされたのですか?** このアドバイザリの最初のリリース時点ではセキュリティ更新プログラムはダウンロードセンターからのみの提供でしたが、Microsoft Update からも提供するようになったことをお知らせするために、アドバイザリを再リリースしました。さらに、Page.IsPostBack で時々誤った値が返される原因となっていた問題を解決するために、影響を受ける次のソフトウェアの更新プログラムが再リリースされました。

.NET Framework のバージョン	オペレーティングシステム	更新プログラムの番号
Microsoft .NET Framework 3.5	Windows 8.1 および Windows Server 2012 のみ	2894852
Microsoft .NET Framework 4	Windows Server 2003 Service Pack 2、Windows Vista Service Pack 2、Windows 2008 Service pack 2、Windows 7 Service Pack 1、および Windows Server 2008 R2 Service Pack 1	2894842
Microsoft .NET Framework 4.5	Windows Vista、Windows Server 2008 Service Pack 2、Windows 7、および Windows Server 2008 R2 Service Pack 1	2894854
Microsoft .NET Framework 4.5.1	Windows Vista、Windows Server 2008 Service Pack 2、Windows 7、および Windows Server 2008 R2 Service Pack 1	2894854
Microsoft .NET Framework 4.5.1	Windows 8、Windows Server 2012、および Windows RT	2894855
Microsoft .NET Framework 4.5.1	Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1	2894856

上記のいずれかの更新プログラムを既にインストール済みの場合は、このアドバイザリで説明されている脆弱性から保護するために、更新プログラムを再適用する必要があります。この一覧に記載されていない、影響を受ける残りのソフトウェアについては、既にシステムを正しく更新していれば特に何も行う必要はありません。 **このアドバイザリの目的は何ですか?** このアドバイザリの目的は、管理者が ASP.NET サーバーでビューステート MAC の常時有効化を構成するための更新プログラムをマイクロソフトが公開したことをお知らせし、IIS サーバーでビューステート MAC を有効化する方法に関する一般的なガイダンスを提供することです。 **ビューステートとは何ですか?** ビューステートは ASP.NET の機能で、POST 要求やページ更新、および変更が行われたとき Web 開発者がページの状態を維持し、Web フォームのデータを維持できます。ビューステートは、ASP.NET 開発者の間では広く普及している機能で、ASP.NET サイトのいたることころで使用されています。ビューステートは、EnableViewState プロパティが False に設定されている場合でも常に解析されます。詳細については、「[ASP.NET のビューステートの理解](https://msdn.microsoft.com/library/ms972976.aspx)」を参照してください。 **ビューステートを無効にすると、脆弱性は緩和されますか?** いいえ。このプロパティが web.config、@Page directive、または ASP.NET タグで設定されているかどうかに関係なく、EnableViewState が False に設定されていたとしても、ビューステートは常に ASP.NET サーバーにより解析されます。攻撃者は、EnableViewState 設定を迂回して、クライアント POST にビューステートプロパティを挿入することが可能です。 **ビューステート MAC 検証とは何ですか?** ビューステート MAC (Machine Authentication Code) 検証は、ページ生成時に ASP.NET にビューステートデータのハッシュを生成させる機能です。このハッシュは、後にポストバックのビューステートとの比較に使用されるもので、これによりサーバーはビューステートが改ざんされていないかどうかを検証できます。このテクノロジにより、ポストバックデータに対して不適切な修正が行われていないことが保証され、このアドバイザリで説明している脆弱性が緩和されます。 **攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?** ほとんどのシナリオでは、攻撃者はこの脆弱性を悪用して、脆弱な ASP.NET サイト (ビューステート MAC が適切に構成されていないサイト) で実行されるサービスアカウントのレベルに特権を昇格させることができます。 **攻撃者はこの脆弱性をどのように悪用する可能性がありますか?** 認証されていない攻撃者が、特別に細工された HTTP コンテンツを標的となったサーバーに送信し、ASP.NET サイトで動作するサービスアカウントを使用して、サーバーでコードを実行できるようになる可能性があります。 **この更新プログラムは何を修正しますか?** この更新プログラムは、ビューステート MAC が常時有効化されるようにし、サーバー側では無効化できないようにすることで脆弱性に対処します。 **この更新プログラムのインストール後にしなければならない操作は何ですか?** 修正の性質上、一部のお客様、特に Web ファームで ASP.NET をお使いの場合は、ASP.NET サイトが常時利用可能になるように追加の措置を講じていただく必要があります。追加の構成手順については、後述の「**推奨するアクション**」を参照してください。 **インストールされている Microsoft .NET Framework のバージョンはどのように確認できますか?** 複数のバージョンの.NET Framework をシステムにインストールおよび実行可能で、どの順番でもインストールできます。現在インストールされている .NET Framework のバージョンを判断する方法がいくつかあります。詳細については、[マイクロソフトサポート技術情報 318785](https://support.microsoft.com/kb/318785/ja) を参照してください。 **.NET Framework 4 および .NET Framework 4 Client Profile は、どう違うのですか?** .NET Framework version 4 の再配布可能パッケージは、次の 2 種類のプロファイルで利用可能です:.NET Framework 4 および .NET Framework 4 Client Profile。.NET Framework 4 Client Profile は、クライアントアプリケーション用に最適化された、.NET Framework 4 プロファイルのサブセットです。これは、Windows Presentation Foundation (WPF)、Windows Forms、Windows Communication Foundation (WCF) および ClickOnce の機能などの大部分のクライアントアプリケーションに機能性を提供します。これにより .NET Framework 4 Client Profile 向けアプリケーション用のインストールパッケージがコンパクトになり、導入が高速になります。詳細については、MSDN の記事「[.NET Framework Client Profile](https://msdn.microsoft.com/ja-jp/library/cc656912.aspx)」を参照してください。 **.NET Framework 3.0 Service Pack 2 をインストールしていますが、このバージョンはこのセキュリティ情報の影響を受けるソフトウェアとして記載されていません。この更新プログラムをインストールする必要はありますか?** このセキュリティ情報は .NET Framework 2.0 の機能層に影響する脆弱性について説明しています。.NET Framework 3.0 Service Pack 2 のインストーラーは .NET Framework 2.0 Service Pack 2 のセットアップに連鎖しています。このため、前者をインストールすると後者もインストールされます。したがって、.NET Framework 3.0 Service Pack 2 をインストールしているお客様は .NET Framework 2.0 Service Pack 2 用のセキュリティ更新プログラムをインストールする必要があります。 **.NET Framework 3.5 Service Pack 1 をインストールしています。更新プログラムをインストールする必要がありますか?** このセキュリティ情報は .NET Framework 2.0 の機能層に影響する脆弱性について説明しています。.NET Framework 3.5 Service Pack 1 のインストーラーは .NET Framework 2.0 Service Pack 2 のセットアップと .NET Framework 3.0 Service Pack 2 のセットアップの両方と連鎖しています。したがって、.NET Framework 3.5 Service Pack 1 をインストールしているお客様は .NET Framework 2.0 Service Pack 2 用のセキュリティ更新プログラムをインストールする必要があります。推奨するアクション ------------------ - **影響を受けるリリースの Microsoft .NET Framework への更新プログラムの適用** ほとんどのお客様は自動更新を有効にしていて、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新の具体的な構成オプションについては、[サポート技術情報 294871](https://support.microsoft.com/kb/294871/ja) を参照してください。自動更新を有効にしていない場合は、「[自動更新を有効または無効にするには](https://go.microsoft.com/fwlink/?linkid=398470)」の手順を使用すると、自動更新を有効にすることができます。管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンドユーザーは、更新プログラムの管理ソフトウェアまたは [Microsoft Update](https://go.microsoft.com/fwlink/?linkid=40747) サービスで更新プログラムを確認して、この更新プログラムをできる限り早期に適用することを推奨します。これらの更新プログラムは、このアドバイザリの「影響を受けるソフトウェア」の表にある Microsoft ダウンロードセンターのリンクからもアクセスできます。これらの更新プログラムを手動で適用する方法については、[サポート技術情報 2905247](https://support.microsoft.com/kb/2905247/ja) を参照してください。 - **Web ファームシナリオを使った管理者およびエンタープライズインストールの場合** マイクロソフトは、[マイクロソフトサポート技術情報 2915218](https://support.microsoft.com/kb/2915218/ja) のガイダンスに従って操作することを推奨します。 ### 追加の推奨されるアクション - **コンピューターを守る** マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、[Microsoft セーフティとセキュリティセンター](https://www.microsoft.com/ja-jp/security/default.aspx)を参照してください。 - **マイクロソフトのソフトウェアを最新の状態に保つ** マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、[Microsoft Update](https://go.microsoft.com/fwlink/?linkid=40747) で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。セキュリティ更新プログラムの展開 -------------------------------- ### Windows Server 2003 (すべてのエディション) **参照表** 次の表では、このソフトウェア用のセキュリティ更新プログラムの情報を記載しています。

この修正を含む予定のサービスパック	この問題に対する更新プログラムは今後リリースされるサービスパックまたは更新プログラムのロールアップに含まれる予定です。
セキュリティ更新プログラムのファイル名	Windows Server 2003 SP2 のすべてのサポートされている 32 ビット版にインストールされている Microsoft .NET Framework 1.1 Service Pack 1: WindowsServer2003-KB2894845-x86-JPN.exe
	Windows Server 2003 のすべてのサポートされている 32 ビット版にインストールされている Microsoft .NET Framework 2.0 Service Pack 2: NDP20SP2-KB2894843-x86.exe
	Windows Server 2003 のすべてのサポートされている 32 ビット版にインストールされている Microsoft .NET Framework 4: NDP40-KB2894842-V2-x86.exe
	Windows Server 2003 のすべてのサポートされている x64-based エディションにインストールされている Microsoft .NET Framework 2.0 Service Pack 2: NDP20SP2-KB2894843-x64.exe
	Windows Server 2003 のすべてのサポートされている x64-based エディションにインストールされている Microsoft .NET Framework 4: NDP40-KB2894842-V2-x64.exe
	Windows Server 2003 のすべてのサポートされている Itanium-based エディションにインストールされている Microsoft .NET Framework 2.0 Service Pack 2: NDP20SP2-KB2894843-IA64.exe
	Windows Server 2003 のすべてのサポートされている Itanium-based エディションにインストールされている Microsoft .NET Framework 4: NDP40-KB2894842-V2-IA64.exe
インストールスイッチ	サポート技術情報 2844699 を参照してください。
更新ログファイル	Windows Server 2003 Service Pack 2 上の Microsoft .NET Framework 1.1 Service Pack 1: KB2894845.log
	Microsoft .NET Framework 2.0 Service Pack 2 対象: Microsoft .NET Framework 2.0-KB2894843_-msi0.txt Microsoft .NET Framework 2.0-KB2894843_.html
	Microsoft .NET Framework 4 対象: KB2894842__-Microsoft .NET Framework 4 Client Profile-MSP0.txt KB2894842__.html
再起動の必要性	この更新プログラムは、システムの再起動が必要ない場合もあります。必要なファイルが使用中の場合、この更新プログラムは再起動が必要です。この動作が起きた場合、再起動のメッセージが表示されます。再起動が必要になる可能性を低減するために、このセキュリティ更新プログラムのインストール前に、すべての影響を受けるサービスを停止し、影響を受けるファイルを使用している可能性のあるすべてのアプリケーションを閉じてください。再起動が必要となる理由の詳細については、マイクロソフトサポート技術情報 887012 を参照してください。
削除に関する情報	[コントロールパネル]の [プログラムの追加と削除] を使用します。
ファイルに関する情報	サポート技術情報 2905247 を参照してください。
レジストリキーの確認	Windows Server 2003 のすべてのサポートされている 32 ビット版にインストールされている Microsoft .NET Framework 1.1 Service Pack 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2894845\
	Microsoft .NET Framework 2.0 Service Pack 2 対象: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 2.0 Service Pack 2\SP2\KB2894843 "ThisVersionInstalled" = "Y"
	Windows Server 2003 のすべてのサポートされている 32 ビット版にインストールされている Microsoft .NET Framework 4: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2894842v2 "ThisVersionInstalled" = "Y"
	Windows Server 2003 のすべてのサポートされている x64-based および Itanium-based エディションにインストールされている Microsoft .NET Framework 4: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2894842v2 "ThisVersionInstalled" = "Y"