12月30日に公開されたマイクロソフト セキュリティ アドバイザリ (2659883) 「ASP.NET の脆弱性により、サービス拒否が起こる」 の件ですが定例外としてMS11-100のセキュリティアップデートが公開されました。
2659883の脆弱性に加えて合計4件の脆弱性も解決されてるようです。
- ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性 CVE-2011-3414
- .NET フォームの認証の安全ではないリダイレクトの脆弱性 CVE-2011-3415
- ASP.NETフォームの認証バイパスの脆弱性 CVE-2011-3416
- ASP.NET フォームの認証のチケットをキャッシュする脆弱性 CVE-2011-3417
対象は.NET Framework 1.1 / 2.0 / 3.5 / 3.5.1 / 4 なのでかなり広範囲ですね。注意しましょう。
参照 → セキュリティホールmemo
さて Windows Azureではどうすればいいのかというと、サービス設定ファイルでOSのバージョン指定を*指定つまり自動アップグレードを選択している場合はどこかのタイミングで(たぶんすでに実施されちゃってると思われますが)MS11-100が適用されたバージョンになります。
- Guest OS 1.x 系 → WA-GUEST-OS-1.16_201109-03
- Guest OS 2.x 系 → WA-GUEST-OS-2.8_201109-03
※リビジョン(?)が03になっています
※2012/01/02 1.16が1.8になってたので修正(指摘ありがとうございます)
手動の場合はすぐにアップデートしましょうね。
参考 → Windows Azureのセキュリティ情報 MS11-100 への対応 ( S/N RATIO [BY SATO NAOKI] )
VMロールの場合は、OSのイメージ管理は利用者の自己責任なので、パッチを適用した差分か元イメージを再アップロードするなどで対応してください。
ちなみに、セキュリティホールmemoのEffective DoS attacks against Web Application Plattforms ? にあるようにPerlを除く代表的なWebプログラミング言語、フレームワークで発生するそうです。
なので、Windows Azure上でPHPを使ってる場合は上記パッチに加えて、Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸浩の日記)を参考にまずはPHP.iniを修正したりするのがよいかと思います。
※mod_security使えないので。
