Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <199912031044.TAA04649@rins.st.ryukoku.ac.jp> Date: Fri, 03 Dec 1999 19:54:20 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK99-39) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************************** Microsoft(R) Security Bulletin Japanese Edition (MSKK99-39) -------------------------------------- "マルチスレッド SSL ISAPI フィルタ" の脆弱性に対する修正プログラム マイクロソフトは、Microsoft Internet Information Server (IIS) と IIS を利用する他の製品に含まれる SSL ISAPI フィ ルタの脆弱性を排除する修正プログラムをリリースしました。 特定の状態、かつごくまれな 環境で SSL ISAPI フィルタがマ ルチスレッドアプリケーションにより呼び出された場合、フィ ルタにおける同期エラーは、プレーンテキスト (暗号化されて いない文字コード) の単一バッファがデータの所有者に送信さ れることを許してしまいます。 問題 ==== IIS の一部として提供される SSL ISAPI フィルタは、同時使用 をサポートしています。このモードで 使用された時、同期問題 は競合状態を引き起こし、プレーンテキストの単一バッファー を漏洩させてしまうことがあります。これが起こりうる条件は 非常にまれで、一人のユーザのセッションが複数のスレッドで 処理され、トラフィック量が非常に高かった時にのみ発生しま す。 この脆弱性の範囲は非常に制限されます。漏洩したプレーンテ キストは、その所有者のもとへ送られ、 決して他のユーザーに 送られることはありません。さらに、漏洩したデータはその保 全チェックに失敗するので、漏洩の影響は SSL セッションを直 ちに消失することになります。この状態は、悪意を持っ たユー ザーによって引き起こされ、そして標的となる機会を提供しま す。また、この脆弱性は SSL ISAPI フィルタにのみ影響し、 Schannel によって Windows NT に提供される安全なコミュニケ ーショ ンの機能には影響しません。 この問題の詳細については次の英文サイトをご覧ください。 http://www.microsoft.com/security/bulletins/ms99-053.asp 影響を受けるソフトウェアのバージョン - Microsoft Internet Information Server 4.0 - Microsoft Site Server 3.0 - Microsoft Site Server Commerce Edition 3.0 日本語版の修正プログラムが以下のサイトで入手可能です。 - x86: http://www.microsoft.com/downloads/release.asp? ReleaseID=16191 - Alpha: http://www.microsoft.com/downloads/release.asp? ReleaseID=16190 ********************************************************************** 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを送信し てください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただ けます。また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。