このパッチは、悪意のあるユーザーが状況の非常に制限されたセットの下で、他のユーザーのセキュアなWebセッションをハイジャックすることを可能にするMicrosoftインターネットインフォメーションサーバーのセキュリティ上の脆弱性を排除します。はIISが、現在のセッションIDを追跡するためのセッションIDクッキーの使用をサポートしていますWebセッションのため。その結果、RFC 2109で定義されているようしかし、IISでASPは、同じWebサイト上のセキュアと非セキュアなページが同じセッションIDを使用し、安全なセッションIDクッキーの作成をサポートしていません。ユーザーがセキュリティで保護されたWebページとのセッションを開始した場合、セッションIDクッキーが生成され、SSLで保護されたユーザに送信されます。その後、ユーザーが同じサイトにセキュリティで保護されていないページを訪問した場合でも、同じセッションIDクッキーは、プレーンテキストでは、この時間を交換することになります。悪意のあるユーザーが通信チャネルを完全に制御を持っていた場合、彼はプレーンテキストのセッションIDクッキーを読んで、保護されたページで、ユーザーのセッションに接続するためにそれを使用することができます。その時点で、彼は、ユーザーが取ることができる安全なページ上の任意の操作を行うことができます。この脆弱性が悪用される可能性の条件はかなり困難です。悪意のあるユーザーはWebサイトで他のユーザーの通信を完全に制御を持っている必要があります。その場合でも、悪意のあるユーザーが保護されたページへの最初の接続を行うことができませんでした。唯一の正当なユーザーはそれを行うことができます。パッチは、ASPページでのセキュアなセッションIDクッキーのサポートを追加することにより、この脆弱性を排除します。 (セキュアクッキーは既にIISで他のすべての技術の下で、クッキーの他のすべてのタイプのためにサポートされています)。
詳細については、FAQを参照してください。
要件:ます。
のWindows NT 4.0、インターネットインフォメーションサーバー4.0
コメントが見つかりません