定例外のセキュリティアップデート MS11-100

12月30日に公開されたマイクロソフト セキュリティ アドバイザリ (2659883) 「ASP.NET の脆弱性により、サービス拒否が起こる」 の件ですが定例外としてMS11-100のセキュリティアップデートが公開されました。

2659883の脆弱性に加えて合計4件の脆弱性も解決されてるようです。

  • ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性 CVE-2011-3414
  • .NET フォームの認証の安全ではないリダイレクトの脆弱性 CVE-2011-3415
  • ASP.NETフォームの認証バイパスの脆弱性 CVE-2011-3416
  • ASP.NET フォームの認証のチケットをキャッシュする脆弱性 CVE-2011-3417

対象は.NET Framework 1.1 / 2.0 / 3.5 / 3.5.1 / 4 なのでかなり広範囲ですね。注意しましょう。

参照 → セキュリティホールmemo

さて Windows Azureではどうすればいいのかというと、サービス設定ファイルでOSのバージョン指定を*指定つまり自動アップグレードを選択している場合はどこかのタイミングで(たぶんすでに実施されちゃってると思われますが)MS11-100が適用されたバージョンになります。

※リビジョン(?)が03になっています
※2012/01/02 1.16が1.8になってたので修正(指摘ありがとうございます)

手動の場合はすぐにアップデートしましょうね。

参考 → Windows Azureのセキュリティ情報 MS11-100 への対応 ( S/N RATIO [BY SATO NAOKI] )

image

image

VMロールの場合は、OSのイメージ管理は利用者の自己責任なので、パッチを適用した差分か元イメージを再アップロードするなどで対応してください。

ちなみに、セキュリティホールmemoのEffective DoS attacks against Web Application Plattforms ? にあるようにPerlを除く代表的なWebプログラミング言語、フレームワークで発生するそうです。

なので、Windows Azure上でPHPを使ってる場合は上記パッチに加えて、Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸浩の日記)を参考にまずはPHP.iniを修正したりするのがよいかと思います。

※mod_security使えないので。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中