| Microsoft IIS5「セッションID Cookieマーキング」脆弱性パッチ Microsoft Internet Information Serverのセキュリティ上の脆弱性を排除します。 |
今すぐダウンロード |
Microsoft IIS5「セッションID Cookieマーキング」脆弱性パッチ ランキングとまとめ
- 出版社のWebサイト:
- http://www.microsoft.com/
- オペレーティングシステム:
- Windows 2000
Microsoft IIS5「セッションID Cookieマーキング」脆弱性パッチ タグ
Microsoft IIS5「セッションID Cookieマーキング」脆弱性パッチ 説明
Microsoftから:このパッチは、Microsoft Internet Information Serverのセキュリティ上の脆弱性を排除して、悪意のあるユーザーが別のユーザーの安全なWebセッションを非常に制限された一連の状態でハイジャックすることを可能にするであろう。現在のセッションIDを追跡するためのセッションID Cookieの使用をサポートしていますWebセッションの場合。ただし、IISのASPは、RFC 2109で定義されているようにセキュアセッションID Cookieの作成をサポートしていません。その結果、同じWebサイト上のセキュアおよび非セキュアページは同じセッションIDを使用します。ユーザが安全なWebページとのセッションを開始した場合、SSLによって保護されているセッションID Cookieが生成され、ユーザに送信されます。しかし、その後ユーザーが同じサイト上の安全以外のページを訪問した場合、同じセッションID Cookieが交換されます。悪意のあるユーザーが通信チャネルを完全に制御した場合、彼は平文セッションID Cookieを読み取り、それを使用して安全なページを使ってユーザーのセッションに接続することができます。その時点で、彼はユーザが取ることができる確実なページに対して任意の行動をとることができた。この脆弱性が悪用される可能性がかなり厄介である。悪意のあるユーザーは、Webサイトとの他のユーザーの通信を完全に制御する必要があります。その後も、悪意のあるユーザーはセキュアページへの最初の接続を確立できませんでした。正当なユーザーだけがそれをすることができました。このパッチは、ASPページでセキュアセッションID Cookieのサポートを追加することによって、この脆弱性を排除します。 (Secure Cookieは、IISの他のすべてのテクノロジの下で、他のすべてのタイプのクッキーではすでにサポートされています)。詳細についてはFAQを読んでください。
Microsoft IIS5「セッションID Cookieマーキング」脆弱性パッチ 関連ソフトウェア