水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > global.asax のそれは不十分なんだって……

global.asax のそれは不十分なんだって……

2004年10月18日(月曜日)

global.asax のそれは不十分なんだって……

更新: 2005年2月10日

IT Pro (itpro.nikkeibp.co.jp) に、ASP.NET の脆弱性関連の記事が出ていますが……。

マイクロソフトは,おそらく「Webサーバー管理者の中には,ソースコードを読めない人がいる」と判断し,2日後に,公開したソースコードを実装した修正パッチ(Microsoft.Web.ValidatePathModule.dll)を用意したものと思われます。

以上、IT ProのWindowsユーザーのためのワンポイント・レッスン 第44回 : IT Pro 1週間で学ぶIT基礎の基礎 より

いやいや、ValidatePathModule はそのコードの実装ではありません。global.asax にそのコードを追加しても exploit は通ってしまいます (ASP.NET の脆弱性!参照) が、ValidatePathModule をインストールすれば exploit が通らなくなります (少なくとも私が試した範囲では通りませんでした)。global.asax でのサニタイズはこの問題の対策としては不十分で、対策には ValidatePathModule のインストールが必要だということです。

※なお、このサーバにはあえて ValidatePathModule はインストールしてありません。

……というようなことがちゃんとアナウンスされていないから誤解を招くのだろうなぁ。まあ、

さらに情報やリソースを公開できるようになれば、順次このページを更新する予定です。

(~中略~)

この種類のセキュリティ問題からお客様を保護するためのガイダンスの他に、マイクロソフトは、ASP.NET にセキュリティ更新プログラムを提供するための作業を行っています。その更新プログラムにより、お客様に追加の保護策が提供されます。マイクロソフトは、その更新プログラムの展開のための品質のレベルが適切なものになった後、その更新プログラムをリリースする予定です。

以上、報告された Microsoft ASP.NET の脆弱性に関する情報 より

ということなので、これは Microsoft としてもまだ暫定情報という扱いなのでしょう。状況を整理すると、

という感じかと。

記事では ValidatePathModule をパッチとして紹介していますが、ValidatePathModule は ASP.NET 用の URL Scan のようなもので、この問題の本質を解決しているわけではありません。上記引用部からしてパッチは別途出る予定だと言っていますし、それはそれで適用する必要があるでしょう。Code Red は URL Scan で防げますが、やっぱり MS01-033 は当てないとね……ということで。

※2005-02-10 追記: 修正されました。「ASP.NET パス検証の脆弱性 MS05-004 (www.microsoft.com)

関連する話題: セキュリティ / Microsoft / ASP.NET / ITpro

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト