次の方法で共有

セキュリティ情報

Microsoft セキュリティ情報 MS99-009 - 重大

"形式が正しくないバインド要求" の脆弱性に対して利用可能な修正プログラム

公開日: 1999 年 3 月 16 日 |更新日: 2003 年 3 月 10 日

バージョン: 2.0

更新日: 2003 年 3 月 10 日
投稿日: 1999 年 3 月 16 日

まとめ

Microsoft は、Exchange 5.5 の LDAP バインド機能の脆弱性を排除する修正プログラムをリリースしました。 この脆弱性により、Exchange サーバーに対するサービス拒否攻撃が発生したり、特定の条件下でサーバー上で任意のコードを実行したりする可能性があります。

完全にサポートされているパッチが利用可能であり、この攻撃の危険にさらされているお客様はダウンロードしてインストールすることをお勧めします。

問題点

Exchange 5.5 ディレクトリ サービスの Bind 関数には、安全な操作に 2 つの脅威をもたらすチェックされていないバッファーがあります。 1 つ目はサービス拒否の脅威です。 形式が正しくないバインド要求がバッファーをオーバーフローし、Exchange Directory サービスがクラッシュする可能性があります。 サーバーを再起動する必要はありませんが、メッセージング サービスを再開するには、Exchange Directory サービス(場合によっては依存サービス)を再起動する必要があります。 2 つ目の脅威は、より難解であり、悪用がはるかに困難になります。 慎重に構築された Bind 要求により、クラシック バッファー オーバーラン手法を使用して任意のコードがサーバー上で実行される可能性があります。 どちらの攻撃も誤って発生する可能性があります。

Exchange を使用しているが、ディレクトリ サービスで LDAP サポートを無効にしているお客様は、この脆弱性の危険にさらされません。 また、LDAP サービス ポートである TCP ポート 389 宛ての受信パケットをフィルター処理することで、外部ソースからの攻撃に対する脆弱性を軽減することもできます。

Microsoft には、この脆弱性の影響を受けているお客様の報告はありません。 ただし、Microsoft は問題を修正する修正プログラムを積極的にリリースしています。

影響を受けるソフトウェアのバージョン

  • Microsoft Exchange Server 5.5

脆弱性識別子:CVE-1999-0385

Microsoft が行っていること

Microsoft は、特定された問題を解決する修正プログラムをリリースしました。 パッチは、以下の「お客様が行うべきこと」に記載されているサイトからダウンロードできます。

Microsoft は、Microsoft 製品セキュリティ通知サービスをサブスクライブしているお客様にもこのセキュリティ情報を送信しています。 この無料カスタマー サービスの詳細については 、Microsoft 製品セキュリティ通知サービス を参照してください。

Microsoft では、この問題に関する次のサポート技術情報 (KB (キロバイト)) の記事を公開しています。

  • Microsoft サポート技術情報 (KB (キロバイト)) の記事 221989 XADM: Exchange 5.5 LDAP サービスでのバッファー オーバーラン。
    (このセキュリティ情報の最初の投稿から、KB (キロバイト)の記事が Web ベースのナレッジ ベースに表示されるまでに 24 時間かかる場合があります)。

お客様が行うべきこと

Microsoft では、この脆弱性がシステムに与えるリスクの程度を評価し、パッチをダウンロードしてインストールするかどうかを判断することを強くお勧めします。 パッチは次の場所にあります。

その他の情報

この問題に関連する詳細については、次のリファレンスを参照してください。

  • Microsoft セキュリティ情報 MS99-009、 "形式が正しくないバインド要求" の脆弱性 (このセキュリティ情報の Web に投稿されたバージョン) https://www.microsoft.com/technet/security/bulletin/ms99-009.mspxの修正プログラムが利用可能です。
  • Microsoft サポート技術情報 (KB (キロバイト)) の記事 221989 XADM: Exchange 5.5 LDAP サービスでのバッファー オーバーラン。
    (このセキュリティ情報の最初の投稿から、KB (キロバイト)の記事が Web ベースのナレッジ ベースに表示されるまでに 24 時間かかる場合があります)。

この問題に関するサポートの取得

この問題に関するテクニカル サポートが必要な場合は、Microsoft テクニカル サポートにお問い合わせください。 Microsoft テクニカル サポートへの問い合わせについては、以下を参照してください https://support.microsoft.com/contactussupport/?ws=support

受信確認

Microsoft は、この脆弱性を発見し、パッチの開発に協力した ISS の X-Force を認めます。

リビジョン

  • 1999 年 3 月 16 日: セキュリティ情報の作成
  • V2.0 (2003 年 3 月 10 日): バージョン管理と更新されたパッチの可用性情報が導入されました

Microsoft 製品に関するその他のセキュリティ関連の情報については、以下を参照してください。 https://www.microsoft.com/technet/security

MICROSOFT KNOWLEDGE BA Standard Edition で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 MICROSOFT は、特定の PURPO に対する商品性と適合性の保証を含め、明示または黙示を問わず、一切の保証を行いませんStandard Edition。 MICROSOFT 法人またはそのサプライヤーは、直接、間接、付随的、Standard Edition 付随的、事業利益の損失、特別損害を含むいかなる損害に対しても一切の責任を負いません。MICROSOFT 企業またはそのサプライヤーが、そのような損害の可能性についてB Enterprise Edition N ADVI Standard Editionした場合でも、一切の責任を負いません。 一部の州では、上記の制限が適用されない可能性があるためStandard Edition付随的損害に対する責任の除外または制限を認めていません。

ビルド日: 2014-04-18T13:49:36Z-07:00