|
 |
|
|
お客様各位 |
|
| 2001年 11月26日 東京都新宿区北新宿3−1−16 第2事業本部 セキュリティ技術部 |
|
Unicodeエンコード方式を利用して、 侵入検知システムを回避する攻撃について |
|
●問題 下記の製品は、攻撃者がMicrosoft Web ServerでUnicodeエンコード方式を利用してHTTPベースの攻撃を行ない、侵入検知システムを回避することが可能です。 影響を受ける製品
●詳細 Unicodeは、文字それぞれに固有の数字を割り当てることで、文字セットの国際的標準を確立しています。Unicodeは、一般的によく使用される、ASCII、ANSI、ISO-8859、キリル文字、ギリシャ文字、中国語、日本語、および韓国語など様々なレパートリーの文字を含んでいます。UnicodeエンコードのASCII文字を使用すると、HTTP要求の機能を保ったまま、その出現を隠すことができます。そのため攻撃者は,エクスプロイトで使用されるペイトードを隠して検知を逃れることが可能です。 Microsoft Internet Information Server(IIS)に対するUnicode脆弱点を利用し、攻撃者は「/」、「\」、および[.]文字をエンコードして、Unicodeでそれに相当文字として表現することで、ディレクトリの表示を防止するIISのセキュリティを回避することができます。 また、Microsoft IISには非標準のUnicode文字を受け入れ解釈するという欠点があるため、Unicodeエンコードを利用すると侵入検知システムを避けることができます。 (例)次にUnicodeエスケープされた文字を含まない標準のHTML GET要求を示します。 GET/attack.htmlHTTP/1.0 次に示すのは同じ内容の要求ですが、文字「k」の代わりに、有効なUnicodeエスケープされた文字を利用したものです。 GET/attac%u006h.htmlHTTP/1.0 この要求では「%uエンコード」という非標準のUnicode形式を使用しています。このタイプのエンコードを利用するとIIS固有の脆弱点を検知する侵入検知システムのシグネチャの多くを効率的に回避することができます。 |
|
●対策 RealSecure X-Press Update3.2を適用してください。 下記URLよりダウンロード可能です。 |
|
|
以上 |