2003年9月25日
『SQL Server 用修正プログラム一覧』
ようやく「SQL Server セキュリティのキ・ホ・ン」の第五回の入稿を終わりました。近日中に公開されると思います。セキュリティ面からの「テスト」は、あまり語られていない分野かと思いましたので、まとめに「テストしましょう」を入れました。
●SQL Server 用修正プログラム一覧
SQL Server 2000 SP 3 用修正プログラム一覧の入手方法について、メーリングリストにて質問がありました。あらためて、まとめておきたいと思います。
一覧がまとめられているページ
http://www.microsoft.com/japan/technet/security/fix/sql2ksp3.asp?frame=true
このページには、随時、SP3 以降の修正プログラムがまとめられています。よりお勧めの方法として、ツールによるチェックがあります。
次のようなツールがあります。
* マイクロソフト HFNETCHK
* MBSA (Microsoft Baseline Security Analyzer)
http://www.microsoft.com/japan/technet/security/tools/tools/mbsahome.asp
* Shavlik HFNETCHK
http://hfnetchk.shavlik.com/
HFNETCHK は、もともと マイクロソフト と Shavlik で共同で開発しました。マイクロソフトでは、HFNETCHK
を MBSA に統合しました。MBSA は、GUI のツールで、現在英語版しかありません。Shavlik は、HFNETCHK
をより強化したバージョンを提供中で、MDAC, Exchange の脆弱性対応, GUI や各種レポート機能を提供しています。
ここでは、MBSA によるチェック方法を紹介します。まず、MBSA をダウンロードして、インストールします。インストール手順は英語ですが、特に指定するところもありません。
次に、コマンドプロンプトを開いて、コマンドを実行してみます。
cd "C:\Program Files\Microsoft Baseline Security Analyzer"
これで、ディレクトリを変更したあと、
mbsacli -hf -v
これで、英語版の最新の修正プログラム情報をつかって検査ができます。さらに、日本語版の最新情報をつかって検査します。
mbsacli -hf -v -x
http://download.microsoft.com/download/xml/security/1.0/NT5/JA/mssecure.cab
修正プログラムのインストール履歴情報を確認したい場合は、
mbsacli -hf -history 1
を実行します。この他にも、mbsacliは、ほかのコンピュータの修正プログラム適用状況を確認できるなど便利な機能がたくさんあります。
■MS03-032 用チェック
MS03-032 用として提供されている修正プログラムは、9/25(木) 現在、脆弱性が残っています。
MS03-032 のサイトには、次の一文があります。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-032.asp
『マイクロソフトは最初にこのセキュリティ情報を 2003 年 8 月 20 日 (米国日付) にリリースしました。このセキュリティ情報のリリース後、マイクロソフトはこのセキュリティ情報で提供した修正プログラムが
「オブジェクト タグの脆弱性」(CAN-2003-0532) を適切に修正しないとの報告を受けました。』
したがって、正しい修正プログラムが提供されるまでは次の対策をお勧めします。
IE の「ActiveX コントロールとプラグインの実行」を「無効」または「ダイアログを表示」に変更します
手順 (IE 6の場合)
1. 「ツール」-「オプション」を選択
2.「インターネットのオプション」ダイアログにて、「セキュリティ」タブを
選択。
3.「インターネット」ゾーンを選択
4.「レベルのカスタマイズを選択」
5.「セキュリティの設定」ダイアログにて、「ActiveXコントロールとプラグイ
ン」カテゴリの中の「ActiveXコンロトールとプラグインの実行」を「無効に
する」を選択。または、「ダイアログを表示」を選択。
6.「OK」ボタンを押して終了
次に、この設定にしていると、Flash や Acrobatなどの プラグインがいっさい動かなくなります。特に、Windows
Update が正常に動作しません。そこで、プラグインがつかいたいサイトをひとつひとつ、指定していきます。ここでは、Windows
Update を許可します。
1. 「ツール」-「オプション」を選択
2.「インターネットのオプション」ダイアログにて、「セキュリティ」タブを選択。
3.「信頼済みのサイト」ゾーンを選択
4.「サイト」を選択
5.「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」をチェックをはずす
6.「次のWebサイトをゾーンに追加する」欄から、
*.windowsupdate.microsoft.com
を「追加」する
7.「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」をチェックを有効に戻す
8.「OK」ボタンを押して、終了する
最近、Flash が利用されているページが多いため、上記設定をするととてもわずらわしいことになります。ただ、MS03-032
をつかって攻撃することは簡単にできますので、念のため、防御しておくことをお勧めします。
検証用に次のツールを作成しています。
MS03-032check.asp MS03-032の問題を確認するツール
http://www.kawabata.com/yoshihiro/blog/PermaLink.aspx/d27b44f3-6a89-4f71-9310-1479eadd1cc7
メールにてお問い合わせいただければ、URL をご連絡させていただきます。
短い夏があっという間にすぎさり、一雨ごとに秋が深まってきました。準備が
進んでいる PASSJ 秋合宿が、とても楽しみです。
|
