製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft IIS における任意のコードを実行される脆弱性

Title	Microsoft IIS における任意のコードを実行される脆弱性
Summary	Microsoft IIS には、認証情報が適切に解析されないため、任意のコードを実行される脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、メモリの破損を誘発するトークンの確認を介して、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 8, 2010, midnight
Registration Date	July 5, 2010, 5:52 p.m.
Last Update	July 5, 2010, 5:52 p.m.

Affected System

マイクロソフト

Microsoft IIS 6.0

Microsoft IIS 7.0

Microsoft IIS 7.5

Microsoft Windows 7 (x32)

Microsoft Windows 7 (x64)

Microsoft Windows Server 2003

Microsoft Windows Server 2003 (itanium)

Microsoft Windows Server 2003 (x64)

Microsoft Windows Server 2008 (itanium)

Microsoft Windows Server 2008 (x64)

Microsoft Windows Server 2008 (x86)

Microsoft Windows Server 2008 r2(itanium)

Microsoft Windows Server 2008 r2(x64)

Microsoft Windows Vista

Microsoft Windows Vista (x64)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1256	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1256
National Vulnerability Database (NVD)
2	CVE-2010-1256	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1256

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
Microsoft Security Bulletin
1	MS10-040	http://www.microsoft.com/technet/security/bulletin/MS10-040.mspx
マイクロソフトセキュリティ情報
2	MS10-040	http://www.microsoft.com/japan/technet/security/bulletin/ms10-040.mspx
富士通セキュリティ情報
3	TA10-159B	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-159b.html
絵でみるセキュリティ情報
4	MS10-040e	http://www.microsoft.com/japan/security/bulletins/MS10-040e.mspx

その他

No	Name	URL
ISS X-Force Database
1	58864	http://xforce.iss.net/xforce/xfdb/58864
JPCERT 緊急報告
2	JPCERT-AT-2010-0014	http://www.jpcert.or.jp/at/2010/at100014.txt
JVN
3	JVNTA10-159B	http://jvn.jp/cert/JVNTA10-159B/index.html
Secunia Advisory
4	SA40079	http://secunia.com/advisories/40079
SecurityFocus
5	40573	http://www.securityfocus.com/bid/40573
US-CERT Cyber Security Alerts
6	SA10-159B	http://www.us-cert.gov/cas/alerts/SA10-159B.html
US-CERT Technical Cyber Security Alert
7	TA10-159B	http://www.us-cert.gov/cas/techalerts/TA10-159B.html
VUPEN Security
8	VUPEN/ADV-2010-1397	http://www.vupen.com/english/advisories/2010/1397
警察庁 @police
9	マイクロソフト社のセキュリティ修正プログラムについて(MS10-032,033,034,035,036,037,038,039,040,041)	http://www.npa.go.jp/cyberpolice/#topics

Change Log

No	Changed Details	Date of change
0	[2010年07月05日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-1256

Summary	Unspecified vulnerability in Microsoft IIS 6.0, 7.0, and 7.5, when Extended Protection for Authentication is enabled, allows remote authenticated users to execute arbitrary code via unknown vectors related to "token checking" that trigger memory corruption, aka "IIS Authentication Memory Corruption Vulnerability."
Publication Date	June 9, 2010, 5:30 a.m.
Registration Date	Jan. 29, 2021, 10:59 a.m.
Last Update	Dec. 8, 2023, 3:38 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:microsoft:internet_information_server:6.0:::::::*
execution environment
1	cpe:2.3:o:microsoft:windows_2003_server::sp2:x64:::::
2	cpe:2.3:o:microsoft:windows_2003_server::sp2::::::*
3	cpe:2.3:o:microsoft:windows_2003_server::sp2:itanium:::::

Configuration2		or higher	or less	more than	less than

Configuration3		or higher	or less	more than	less than

Configuration4		or higher	or less	more than	less than

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.us-cert.gov/cas/techalerts/TA10-159B.html	CERT	US Government Resource
2	http://www.securityfocus.com/bid/40573	BID
3	https://exchange.xforce.ibmcloud.com/vulnerabilities/58864	XF
4	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7149	OVAL
5	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-040	MS

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html