コラボレーション : Cisco Collaboration Server (CS)

Cisco Collaboration Server 5.0: HTTP TRACE/TRACK の方法によるセキュリティ脆弱性のトラブルシューティング

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Web サーバとして Microsoft Internet Information Services(IIS)を使用する製品において、HTTP TRACE メソッドまたは TRACK メソッドによって発生するセキュリティ脆弱性を回避する手順について説明します。 Cisco Collaboration Server 5.0 は Web サーバとして IIS 5.0 を使用し、この脆弱性の影響を受けやすくなっています。 Microsoft の URLScan ユーティリティを使用して HTTP TRACE/TRACK メソッドを無効にすることが解決策です。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Microsoft Windows 2000 Server

  • Cisco Collaboration Server 5.0

  • Microsoft IIS 5.0

  • Microsoft URLScan ユーティリティ

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 2000

  • Cisco Collaboration Server バージョン 5.0

  • Microsoft IIS 5(Windows 2000 を使用する場合)

  • Microsoft URLScan 2.5

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Web サーバの HTTP TRACE/TRACK メソッドのサポートによるクロス サイトのトレースの脆弱性

HTTP TRACE メソッドをサポートする Web サーバが検出されました。 このメソッドにより、クライアントから Web サーバへの接続をデバッグでき、接続のトレースを分析できます。 このメソッドを使用すると、Web サーバでは、HTTP の仕様に従って、クライアントから送信された情報を、変更もフィルタリングもしないでエコー バックします。 Microsoft IIS Web サーバではこのメソッドに対するエイリアスの 1 つとして TRACK を使用しており、機能的には同じです。

このメソッドに関連している脆弱性が検出されました。 Web ページのアクティブ コンポーネントでは、この TRACE メソッドをサポートする Web サーバに TRACE 要求を送信できます。 通常、ブラウザのセキュリティでは、現在のサイトでドメインの外部にある Web サイトへのアクセスを拒否します。 まずありえないことであり、実行するには困難が伴いますが、他のブラウザの脆弱性が存在している場合は、アクティブ HTML コンテンツから、ホスト Web サーバを超えて任意の Web サーバに外部要求を行うことが可能です。 選択された Web サーバでは、フィルタリングされていないクライアント要求をエコー バックするため、この応答には、指定された Web サーバの指定された Web アプリケーションにブラウザが自動的に送信した cookie ベースまたは Web ベースの認証クレデンシャルも含まれています(ログインしている場合)。 この脆弱性では、被害者となるユーザが参照するページにあるアクティブ コンポーネントでは、この認証情報に直接アクセスできない一方で、ターゲット Web サーバが TRACE 応答としてエコー バックした後でこの情報を受信するところに、TRACE 機能の重大性があります。 この脆弱性は、HTTP プロトコル仕様で必要とされるメソッドをサポートすることに依存しているため、大部分の一般的な Web サーバに脆弱性があります。

Microsoft IIS: Microsoft では、URLScanhttp://www.microsoft.com/windows2000/downloads/recommended/urlscan/default.asp)をリリースしました。カスタマイズされたルール セットに基づいて、すべての着信要求をスクリーニングするために使用できます。leavingcisco.com URLScan は、クライアントからの TRACE 要求をサニタイズまたは無効にするために使用できます。 IIS では TRACK を TRACE にエイリアスすることに注意してください。 したがって、明確に TRACE メソッドをブロックするために URLScan を使用する場合は、TRACK メソッドもフィルタに追加する必要があります。 URLScan では、urlscan.ini 構成ファイルを使用します。通常 \System32\InetSrv\URLScan ディレクトリにあります。

この中に、2 つのセクションがあります。 AllowVerbs と DenyVerbs です。 前者は UseAllowVerbs 変数が 1 に設定されている場合に使用されます。 それ以外の場合は(0 に設定)、DenyVerbs が使用されます。 Default-Deny-Explicit-Allow ポリシーと Default-Allow-Explicit-Deny ポリシーのいずれが必要であるのかに応じて、明らかに、いずれかを使用できます。 URLScan を通じて TRACE メソッドおよび TRACK メソッドを拒否するには、まず [AllowVerbs] セクションから TRACK メソッド、TRACE メソッドを削除し、[DenyVerbs] セクションに追加します。 これにより、URLScan では、すべての TRACE メソッドおよび TRACK メソッドを拒否し、このメソッドを使用しているすべての要求に対してエラー ページを生成します。 変更を有効にするには、[Services] > [Control Panel] 項目から World Wide Web 発行サービスを再開します。

URLScan ユーティリティ バージョン 2.5 をインストールおよび設定し、HTTP TRACE/TRACK メソッドを無効化

次の手順を実行します。

  1. Cisco Collaboration Server に URLScan 2.5 をインストールします。 URLScan 2.5 をダウンロードするには、次の Microsoft Web サイトを参照してください。

    http://microsoft.com/downloads/details.aspx?FamilyId=23D18937-DD7E-4613-9928-7F94EF1C902A&displaylang=en leavingcisco.com

  2. <Windows 2000 Server install drive>:\WINNT\system32\inetsrv\urlscan にある urlscan.ini プロパティ ファイルを編集します。

  3. AllowDotinPath プロパティを 0 から 1 に変更します。デフォルトでは、URLScan は、URL 内のドットを許可せず、Cisco Collaboration Server では、このプロパティが 1 に設定されている必要があります(このプロパティが 0 に設定されている場合エージェントではログインできません)。

  4. [DenyVerbs] セクションに TRACE メソッドと TRACK メソッドを追加し、AllowVerbs プロパティを 1 から 0 に変更します。

  5. Cisco Collaboration Server の [Services] > [Control Panel] 項目から Internet Information Services(IIS)/World Wide Web サービスを再起動します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107523