サポート切れの「IIS 6」、リモートから任意コード実行の脆弱性

2017年4月5日 21:23

印刷

記事提供元:スラド

 すでにサポートが終了しているWindows XPおよびWindows Server 2003に搭載されているIIS 6.0に、新たな脆弱性が発見された。IIS 6.0のサポートも両OSとともに終了しているが、未だにこれらを利用しているサイトがあり、それを狙った攻撃も行われているという(ZDNet Japan実証コードTREND MICROの脆弱性情報CVE-2017-7269)。

 今回発覚した問題は、IIS 6.0のWebDAV関連機能にバッファオーバーフローを引き起こす脆弱性があるというもの。攻撃者は「If: http://」という文字列で始まる長いヘッダとともにPROPFINDリクエストを送信することで、任意のコードを実行できるという。この脆弱性を狙った攻撃は2016年7月~8月ごろから存在していたとされている。すでにIIS 6.0のサポートは終了しているため、この脆弱性が修正される見込みはない。もっとも有効な対策はサポートの切れたOSやIIS 6.0の使用を止めることだろう。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows

 関連ストーリー:
クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN」 2016年03月04日
Windows Server 2003のセキュリティサポートが終了、依然約6万台が稼働中 2015年07月16日
IISのシェアが急上昇、Apacheに迫る 2014年02月06日
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開 2010年07月12日
IISに10個の脆弱性 MS02-018パッチリリース 2002年04月11日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事