製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft IIS における任意の拡張子を伴う空ファイルを作成される脆弱性

Title	Microsoft IIS における任意の拡張子を伴う空ファイルを作成される脆弱性
Summary	Microsoft Internet Information Services (IIS) は、不特定のサードパーティのアップロードアプリケーションと使用する際、NTFS Alternate Data Streams (ADS) ファイル名の構文のサポートに関する処理に不備があるため、任意の拡張子を伴う空ファイルを作成される脆弱性が存在します。
Possible impacts	第三者により、最初の拡張子の後に : (コロン) および安全な拡張子を含むファイル名を介して、任意の拡張子を持つ空ファイルを作成される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 29, 2009, midnight
Registration Date	Sept. 25, 2012, 5:38 p.m.
Last Update	Sept. 25, 2012, 5:38 p.m.

CVSS2.0 : 警告
Score	6
Vector	AV:N/AC:M/Au:S/C:P/I:P/A:P

Affected System

マイクロソフト

Microsoft IIS

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4445	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4445
National Vulnerability Database (NVD)
2	CVE-2009-4445	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4445

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Microsoft
1	Internet Explorer	http://windows.microsoft.com/en-US/internet-explorer/products/ie/home

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4445

Summary	Microsoft Internet Information Services (IIS), when used in conjunction with unspecified third-party upload applications, allows remote attackers to create empty files with arbitrary extensions via a filename containing an initial extension followed by a : (colon) and a safe extension, as demonstrated by an upload of a .asp:.jpg file that results in creation of an empty .asp file, related to support for the NTFS Alternate Data Streams (ADS) filename syntax. NOTE: it could be argued that this is a vulnerability in the third-party product, not IIS, because the third-party product should be applying its extension restrictions to the portion of the filename before the colon.
Summary	Microsoft Internet Information Services (IIS), cuando es utilizado junto con aplicaciones de subida de archivos de terceras partes sin especificar, permite a atacantes remotos crear ficheros vacíos con extensiones de su elección a través de un nombre de fichero que contiene una extensión inicial seguida por : (dos puntos) y una extensión segura; como se ha demostrado con la subida de un fichero .asp:.jpg que resulta en la creacción de un fichero vacío .asp. Relacionado con el soporte de la sintaxis de nombres de ficheros de NTFS Alternate Data Streams (ADS). NOTA: se podría decir que es una vulnerabilidad del producto de terceras partes, no de IIS, porque el producto de terceras partes debería imponer restricciones a las extensiones en la porción de nombre de fichero anterior a los dos puntos.
Publication Date	Dec. 30, 2009, 6 a.m.
Registration Date	Jan. 29, 2021, 1:27 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:microsoft:internet_information_services::::::::			6.0

Related information, measures and tools

No	URL	refsource
1	http://securitytracker.com/id?1023387	cve@mitre.org
2	http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf	cve@mitre.org
3	https://exchange.xforce.ibmcloud.com/vulnerabilities/55308	cve@mitre.org
4	http://securitytracker.com/id?1023387	af854a3a-2127-422b-91ae-364da2661108
5	http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf	af854a3a-2127-422b-91ae-364da2661108
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/55308	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html