logo

ASP.NETにデータ漏えいのセキュリティホールが存在--マイクロソフトが認める

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎2010年09月21日 08時52分
  • このエントリーをはてなブックマークに追加

 Microsoftはセキュリティアドバイザリを公開し、同社のウェブアプリケーションフレームワークである「ASP.NET」に、情報漏えいの恐れがある未パッチのセキュリティーホールが存在することを認めた。

 この脆弱性は、9月第3週にアルゼンチンで開催されたekopathyセキュリティカンファレンスで議論されたもので、ASP.NETの暗号処理の実装に問題があり、攻撃者が秘密情報を復号化したり、改ざんすることが可能になる。

 例えば、対象となるASP.NETアプリケーションが秘密情報(パスワードやデータベース接続文字列など)をViewStateオブジェクトに保持している場合、このデータは漏えいする可能性がある。「ViewStateオブジェクトは暗号化され、非表示のフォーム変数でクライアントに送信されるため、この攻撃の標的になる可能性がある」とMicrosoftは説明している

 ASP.NETアプリケーションがASP.NET 3.5 SP1またはそれ以降のバージョンを使用している場合、攻撃者はこの暗号化の脆弱性を使用して、ASP.NETアプリケーション内にある任意のファイルの内容を要求できる。一般に公開された情報で、このテクニックを利用して、web.configの内容を引き出すデモンストレーションが行われた。ワーカープロセスがアクセスできるASP.NETアプリケーション内のすべてのファイルが、攻撃者に返される。

 Microsoftは、現時点では報告された脆弱性を利用しようとする攻撃や、顧客への影響があるとは認識していないと述べている。

 ただし、この脆弱性を自動的に発見し、悪用するツールがすでに公開されていることに注意する必要がある。

 この脆弱性に関する情報を開示した研究者であるJuliano Rizzo氏によれば、攻撃者はクッキーやView State、フォーム認証チケット、メンバーシップパスワード、ユーザーのデータ、そしてASP.NETフレームワークのAPIを用いて暗号化されたあらゆる情報を簡単に復号化できるという。

 Rizzo氏は、この脆弱性はインターネット上にあるウェブサイトの25%で使用されているフレームワークに影響を及ぼすという。同氏は「この攻撃の影響は、サーバにインストールされているアプリケーションによって異なり、情報漏えいから完全なシステムのセキュリティ侵害まであり得る」と述べている。

 Microsoftはセキュリティアドバイザリで、回避策と推奨されるアクションを提供している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集