マイクロソフト、BizTalk Serverの累積パッチ公開。あらたに二つのセキュリティホールに対応
エンタープライズ
その他
拡大写真
マイクロソフトは、同社のエンタープライズ製品 Microsoft BizTalk Server 2000およびBizTalk Server 2002について、累積的な修正プログラムを公開した。今回の修正プログラムでは、あらたに2つのセキュリティホールへの対応がおこなわれている。
今回対応されたセキュリティホールは、HTTP受信機能のバッファオーバーランと、ドキュメントトラッキング管理(DTA)のSQLインジェクションの2つ。
1つめのHTTP受信機能に関するホールは、BizTalk Server 2002のみが影響を受けるもので、外部から任意のコードを実行されるおそれがあるというもの。IISのセキュリティコンテキストで実行されるため、必ずしもシステム全体に致命的な影響がおよぶというものではないが、環境によっては大きな被害を受けるおそれがある。
また、DTAのSQLインジェクションについては、攻撃者によって不正なクエリがURL中に埋め込まれるおそれがあるというもので、システムの正当なユーザが変造されたURLを開くことで攻撃者の埋め込んだクエリが実行されてしまう。ユーザがデータベース所有者と別アカウントで運用されていれば、一般的にはDBの破壊的操作などはできないため、それほど大きな影響は受けないと思われるが、こちらも環境や設定によっては大きな被害を受けるおそれがある。
修正の導入は、手動ダウンロードののち適用操作をおこなう必要がある。
今回対応されたセキュリティホールは、HTTP受信機能のバッファオーバーランと、ドキュメントトラッキング管理(DTA)のSQLインジェクションの2つ。
1つめのHTTP受信機能に関するホールは、BizTalk Server 2002のみが影響を受けるもので、外部から任意のコードを実行されるおそれがあるというもの。IISのセキュリティコンテキストで実行されるため、必ずしもシステム全体に致命的な影響がおよぶというものではないが、環境によっては大きな被害を受けるおそれがある。
また、DTAのSQLインジェクションについては、攻撃者によって不正なクエリがURL中に埋め込まれるおそれがあるというもので、システムの正当なユーザが変造されたURLを開くことで攻撃者の埋め込んだクエリが実行されてしまう。ユーザがデータベース所有者と別アカウントで運用されていれば、一般的にはDBの破壊的操作などはできないため、それほど大きな影響は受けないと思われるが、こちらも環境や設定によっては大きな被害を受けるおそれがある。
修正の導入は、手動ダウンロードののち適用操作をおこなう必要がある。
《RBB TODAY》