gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2002-000027

Microsoft IIS におけるシステム情報が漏洩する脆弱性

5.0
2007/04/01 00:00
CVE-2002-1717

JVNDB-2002-000027

Microsoft IIS におけるシステム情報が漏洩する脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ Windows XP にデフォルトで同梱されている Microsoft IIS 5.1 には、詳細なシステム情報を公開してしまう問題が存在します。IIS 5.1 のデフォルトインストールで作成される _vti_pvt フォルダは FrontPage を利用する場合に必要となります。ここには Server Extensions やページ更新等の情報など、様々な有用な情報が存在します。 この _vti_pvt フォルダ内の以下の .cnf ファイルをリモートの攻撃者に GET リクエストを送りつけることにより、Web サイトの構成や所有権、各ファイルに対した絶対パスなどを公開してしまい、ホスト上の事前調査を行っている攻撃者にとっては有用な情報を奪取されてしまう可能性があります。 <GET リクエストによりシステム情報を公開してしまうファイル>  ・access.cnf   ・botinfs.cnf  ・bots.cnf    ・linkinfo.cnf また、以下のように /iishelp/common/colegal.htm について GET リクエストを送りつけることで、リモートの攻撃者はその他のファイルにもアクセスできる可能性があります。 GET /iishelp/common/colegal.htm:../../../../../_vti_bin/_vti_adm/admin.dll 尚、更なる報告によると、この問題が成立するためには、_vti_pvt フォルダに対して読み取り権限が許可された設定である必要があります。そのため、リモートの攻撃者はこのような設定ミスの状況下において有用な情報を奪取することが可能となります。
想定される影響と対策
本脆弱性に伴う影響については、「概要」をご参照ください。
JVNDB-2002-000027は、ベンダ情報及び参考情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v3の値
深刻度5.0N/A
CVECVE-2002-1717
公表日2002/02/10 00:00
登録日2007/04/01 00:00
更新日2007/04/01 00:00
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。