2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。
MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3 件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月 29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。
今回のセキュリティ更新プログラムでは、4 件の脆弱性が修正されています。このうち 3 件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1 件の ASP.NET の脆弱性の報告を受け、本日、4 件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。
MAPP (Microsoft Active Protection Program) の対応
今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に Vulnerability:Win/ASPNET.POST.DoS!CVE-2011-3414 として定義ファイルが作成されています。
また、12 月 29 日のブログで、この脆弱性はいくつかの Web アプリケーションベンダーについても影響を与えることをお伝えしましたが、MAPP で共有された情報により、マイクロソフト製品だけでなく、他社の Web アプリケーションについても、MAPP パートナーの IPS/IDS 製品をご利用の場合、脆弱性を悪用した攻撃からシステムを保護することができます。
MS11-100 の定例外のセキュリティ更新プログラムは、本日 2011 年 12 月 30 日よりダウンロードセンターのほか、自動更新、Microsoft Update, Windows Update, WSUS 経由で提供されます。
参考情報
- マイクロソフトセキュリティ情報
.NET Framework の脆弱性により特権が昇格される (2638420) (2011/12/30) ** - 日本のセキュリティチームのブログ
Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開 (2011/12/29)
セキュリティ アドバイザリ 2659883 の問題を解決するセキュリティ更新の事前通知 (定例外) (2011/12/29) ** - MSRC ブログ
Microsoft releases MS11-100 for Security Advisory 2659883 (2011/12/30) ** - SRD ブログ
ASP.NET security update is live! (2011/12/30)
More information about the December 2011 ASP.Net vulnerability (2011/12/30) **