2010/09/22

ASP.NET の脆弱性は雲の上にも !?

マイクロソフトが 2010 年 9 月 18 日に公開した ASP.NET に関する未パッチの脆弱性ですが、ASP.NET アプリケーションの構築が可能な Windows Azure Platform には影響しないのでしょうか?

マイクロソフト セキュリティ アドバイザリ (2416728): ASP.NET の脆弱性により、情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/2416728.mspx
COMPUTERRWORLD.JP » マイクロソフト、「ASP.NET」の重大な脆弱性を警告――すべてのWindows に影響
http://www.computerworld.jp/topics/vs/189293.html

Important: ASP.NET Security Vulnerability - ScottGu's Blog

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

マイクロソフト セキュリティ アドバイザリの「影響を受けるソフトウェア」のリストには、Windows Azure の OS (Windows Azure Guest OS) はありません。これまでもリストされることはなかったので、おそらく Windows Azure はマイクロソフト セキュリティ アドバイザリの対象外なのかもしれません。COMPUTERWORLD.JP のニュースにも登場する Scott Guthrie 氏 (corporate vice president of Microsoft's .NET Developer Platform) のブログに投稿された FAQ には、Windows Azure に関する問い合わせがコメントとして寄せられています。それに対して Scott Guthrie 氏は、"ASP.NET sites running on Azure should also apply the workaround (which is to enable customErrors)." と答えています。Windows Azure が影響を受けるかどうかについては明言されていませんが、対策 (web.config によるカスタム エラー ページの表示) は講じた方がよいようです。
ちなみに、Windows Azure 上で動く Windows Azure Guest OS とはどんなものか情報を探したところ、以下のサイトを見つけました。2010 年 9 月 1 日にリリースされた最新の Windows Azure Guest OS 1.6 は、Windows Server 2008 SP2 と互換性があり、2010 年 7 月までのセキュリティ パッチ (MS10-41 まで) が適用されているとのこと。アプリケーションのデプロイ時の既定では、Guest OS は自動的にアップグレードされるようになっています。なお、Guest OS 1.3 以降は .NET Framework 4 正式版に対応しています。

Windows Azure Guest OS Releases and SDK Compatibility Matrix
http://msdn.microsoft.com/en-us/library/ee924680.aspx

1 件のコメント:

山市 良(仮名) さんのコメント...

2010/09/29 JST にこの問題に関する緊急アップデート (MS10-70) が定例外でリリースされました。http://www.microsoft.com/japan/security/bulletins/ms10-070e.mspx
雲の上は対象外です。