パスワードを忘れた? アカウント作成
13217919 story
Windows

サポート切れの「IIS 6」でリモートから任意のコードが実行できるという脆弱性が発見される 17

ストーリー by hylom
まだまだユーザーは存在するそうで 部門より

すでにサポートが終了しているWindows XPおよびWindows Server 2003に搭載されているIIS 6.0に、新たな脆弱性が発見された。IIS 6.0のサポートも両OSとともに終了しているが、未だにこれらを利用しているサイトがあり、それを狙った攻撃も行われているという(ZDNet Japan実証コードTREND MICROの脆弱性情報CVE-2017-7269)。

今回発覚した問題は、IIS 6.0のWebDAV関連機能にバッファオーバーフローを引き起こす脆弱性があるというもの。攻撃者は「If: http://」という文字列で始まる長いヘッダとともにPROPFINDリクエストを送信することで、任意のコードを実行できるという。この脆弱性を狙った攻撃は2016年7月~8月ごろから存在していたとされている。すでにIIS 6.0のサポートは終了しているため、この脆弱性が修正される見込みはない。もっとも有効な対策はサポートの切れたOSやIIS 6.0の使用を止めることだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年04月05日 16時24分 (#3188432)

    社内イントラとかなら兎も角、外向けでIIS6.0使ったサイトを公開してるようなタコはこのタイミングに攻撃受けまくって死んでおけばいいんじゃね?

    Windows Server 2003なんて1年半以上前にサポート終了してるし、後継バージョンが出たのが2008年初頭、もう9年以上前だ。
    そんだけの間放置してるような奴はここでくたばっていいと思う。

    # 尚、たとえばApache HTTP Serverで言えば2.0と2.2の間ぐらいの製品で、2.0はとっくに打ちきられてるし、2.2もレガシー扱いだ
    # Microsoftがタコいとかプロプラソフトだから駄目とかそういう話ではなく、単純にその時代からソフト更改してないユーザーの問題

    • 今回のは、DoSじゃなくて任意コード実行だから、攻撃受けると何か変な物になるだけで、死ぬとは限らないよ。
      外部公開だとマルウェア配布サイトになってたり、botのCCサーバになってたりするかも知れない。
      しかも、多分設置者が放置したままだから、それを知るものは仕掛けた奴だけ。

      サポート切れのシステムをDoSで確実に殺せるなら「死ねば良い」で済むけど、そうじゃないから嫌らしい。
      事前に知って勝手に殺したら不正アクセスになる訳だし。

      --
      -- Buy It When You Found It --
      親コメント
      • by Anonymous Coward

        そうか! じゃぁ自分だけのバックドアを設置してパッチを当てておこう

      • by Anonymous Coward

        社会的に死ぬって意味じゃないかな?

    • by Anonymous Coward

      まあ、金融系でStruts使い続ける奴と同じですな。

      • by Anonymous Coward

        枯れたバージョンのほうが安心だぜ!って人種ですね

        • by Anonymous Coward

          保守的、安全志向なことと何もしないことを同一視している人種ですよね

          • by Anonymous Coward

            脆弱性のあるOpenSSLを使っていて
            ダウングレードをSIerから提案されて鵜呑みにする通信事業者と同じですね

    • by Anonymous Coward

      この手のやつらは更改も後悔もしないくせに公開するのだぜ

      # きっと死んでも治らない

      • by Anonymous Coward

        次は無償で使えるらしいぜイエーイとか言いながらcentosかOpenSuseを採用する。その次は無償製品はクソだなとか言いながらRHELかIISあたりを採用する。その次は無償で使えるらしいぜいえー…
        どうせ今のシステム構成で粘るだろうからIIS6の更新は当分先だろうけど。

    • by Anonymous Coward

      デフォルト無効どころかIISをデフォルトインストールしてもインストール自体されてないWebDAVを有効にして外向きに運用してる奴いるのかね?

      • by Anonymous Coward

        「何が必要かよくわからないからオプション全部いれとこ」って奴ほど放置したりするもんだ

        • by Anonymous Coward

          「動いてるものを下手に弄るな」と言われたので最初から全部動かしました

    • by Anonymous Coward

      そんなん言い出したら、狙われて落とされるサーバは死んどきゃいいだけだわな

  • by Anonymous Coward on 2017年04月05日 20時10分 (#3188599)

    今回のような過去の遺産でメンテされてないサービスを保護する場合
    UTM機能つきファイアウォールの中には、今回の脆弱性にも
    対応しているIPSにより防御は可能になります。

  • by Anonymous Coward on 2017年04月06日 0時32分 (#3188705)

    > IIS 6を稼働させている旧式のサーバがいまだに60万台以上存在しており、

    まじかよ

  • by Anonymous Coward on 2017年04月06日 9時42分 (#3188813)

    と、今さらながら思った。

    IIS5以下は速やかに市場から消えたし、そんなものの後継なんて誰が信用するんだ?と当時は思ったもんだけど、
    よもや10年以上生き残ろうとは・・・・・。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...