セキュリティ情報

Microsoft セキュリティ情報 MS99-022 - 重要

"2 バイト コード ページ" の脆弱性に対して利用可能な修正プログラム

公開日: 1999 年 6 月 24 日 |更新日: 2003 年 3 月 10 日

バージョン: 2.0

更新日: 2003 年 3 月 10 日

投稿日: 1999 年 6 月 24 日

IIS 4.0 パッチの再リリース: 1999 年 8 月 19 日

まとめ

Microsoft は、サーバーの既定の言語が中国語、日本語、韓国語に設定されている場合に、Web サイトの訪問者がサーバー上の選択したファイルのソース コードを表示できるようにする可能性がある Microsoft® インターネット インフォメーション サーバーの脆弱性を排除する修正プログラムをリリースしました。

このパッチはもともと1999年6月24日にリリースされました。 ただし、IIS 4.0 バージョンのパッチに回帰エラーが含まれていることが判明しました。 回帰エラーが解消され、新しいパッチが利用可能になりました。

この脆弱性に関してよく寄せられる質問は、 https://www.microsoft.com/technet/security/bulletin/fq99-022.mspx

問題点

2 バイト文字セットのコード ページが使用されているコンピューターで IIS を実行し (つまり、サーバー上の既定の言語が中国語、日本語、韓国語に設定されている)、特定の URL 構築を使用して仮想ディレクトリ内のファイルを要求すると、通常のサーバー側の処理はバイパスされます。 その結果、ファイルは単にテキストとしてブラウザーに配信されるため、ソース コードを表示できます。

影響を受けるソフトウェアのバージョン

• Microsoft Internet Information Server 3.0 および 4.0 (既定の言語が中国語、韓国語、日本語に設定されているサーバーで実行されている場合)

脆弱性識別子:CVE-1999-0725

パッチの可用性

• 英語: https:

• 簡体字中国語: </https:>https:

• 繁体字中国語: </https:>https:

• 日本語: </https:>https:

• 韓国語: </https:>https:

  注: サーバー上の現在の既定の言語ではなく、IIS の言語バージョンに対応するパッチを適用します。 たとえば、英語バージョンの IIS があり、サーバーの既定の言語を中国語にリセットしている場合は、英語の修正プログラムを適用します。

その他の情報

この問題に関連する詳細については、次のリファレンスを参照してください。

• Microsoft セキュリティ情報 MS99-022: よく寄せられる質問, https://www.microsoft.com/technet/security/bulletin/MS99-022faq.mspx.

• Microsoft サポート技術情報 (KB (キロバイト)) の記事 233335、特定の文字が URL の末尾にある場合に表示されるページ コンテンツ、</https:>https:。

  (注: KB (キロバイト)の記事が表示されるまでに、このセキュリティ情報の最初の投稿から 24 時間かかる場合があります。ただし、コピーはすぐにパッチ フォルダーで入手できます)。

• Microsoft セキュリティ Web サイト / <https:>https:.

• IIS セキュリティ チェックリスト / <https:>https:.

この問題に関するサポートの取得

これは完全にサポートされているパッチです。 Microsoft テクニカル サポートへの問い合わせに関する情報は、/https:https:> にあります。<

リビジョン

• 1999 年 6 月 24 日: セキュリティ情報が作成されました。
• 1999 年 8 月 19 日: IIS 4.0 パッチの再リリース
• V2.0 (2003 年 3 月 10 日): バージョン管理と更新されたパッチの可用性情報が導入されました

MICROSOFT KNOWLEDGE BA Standard Edition で提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 MICROSOFT は、特定の PURPO に対する商品性と適合性の保証を含め、明示または黙示を問わず、一切の保証を行いませんStandard Edition。 MICROSOFT 法人またはそのサプライヤーは、直接、間接、付随的、Standard Edition 付随的、事業利益の損失、特別損害を含むいかなる損害に対しても一切の責任を負いません。MICROSOFT 企業またはそのサプライヤーが、そのような損害の可能性についてB Enterprise Edition N ADVI Standard Editionした場合でも、一切の責任を負いません。 一部の州では、上記の制限が適用されない可能性があるためStandard Edition付随的損害に対する責任の除外または制限を認めていません。

2014-04-18T13:49:36Z-07:00</https にビルド:>