[翻訳:関谷 麻美]2002年3月9日概要 問題は、IIS の Change Password HTR がパスワード変更要求を処理する方法にある。その問題は、提供されたインターフェースを用いて(ユーザがパスワードを変更するのを許可しない) "Change Locked" のパスワードを持つユーザがパスワードを変更するのを可能にするものだ。詳細脆弱なシステム* Microsoft Windows NT Server 4.0 + IIS 4.0 + Service pack 6.0 全ての NT ユーザは、"ユーザは、パスワードを変更できない"という管理者のセキュリティ・ポリシーを迂回し、Web ベースの ".HTR" アプリケーションhttp://iisserver/iisadmpwd/aexp3.htr を介してパスワードの変更が可能となる。これは、無効なアカウントでも可能だ。 正当なユーザ ID 、パスワード、そして新しいパスワードを入力する。これで、"ユーザは、パスワードを変更できない"というセキュリティ・ポリシーを迂回し、パスワードは変更される。以下のファイルを使用しても、同じ結果が得られる。http://iis-server/iisadmpwd/aexp2.htrhttp://iis-server/iisadmpwd/aexp2b.htrhttp://iis-server/iisadmpwd/aexp4.htrベンダーの対応 『 あなたが言及した"ユーザは、パスワードを変更できない"というポリシーについて、このツールが開発された時、そのポリシーに対し責任を負うべく設計されたものではない。 我々は、.HTR があまり優れた技術でないことを繰り返し述べたいと思う。そして、あなたが .HTR をアンマップすることを強く主張する。HTML ページを介してアカウントを処理する際の好ましい方法は、ADSI を使用することだ。我々は、HTR ベースのアプリケーションに代わって、ASP ベースのアプリケーションを提供できる時がくることを期待している。』解決策 アンマップすることで .HTR を無効にする必要がある。.HTR ベースのパスワード変更アプリケーションの使用を避ける。追加情報Syed Mohamed A がこの情報を提供した。[情報提供:SecuriTeam]http://www.securiteam.com/