none
KB934903対応について RRS feed

  • 質問

  • はじめまして。

    IIS6.0関連で質問です。

     

    当方ではASP(いわゆるClassic ASP)にて作成したWebアプリケーションを提供しています。

    稼働環境としてWindows Server 2003としているのですが、SP2を適用すると以下のような

    問題が発生することがわかりました。

     

    [FIX]:: Session_OnEnd() イベントは発生しません ASP Web アプリケーションで Service Pack 2 で

     Windows Server 2003 をインストールした後に期待どおり

    http://support.microsoft.com/kb/934903/ja

    (概略:SP2ではASPにてSession_OnEnd() イベントが発生しなくなる)

     

    Hotfixを入手し、テスト環境に適用したところ対処ができることは分かりました。

     

    しかしあくまでHotfixですので、本番サーバー等には簡単に適用することが難しい状況です。

    (参考http://support.microsoft.com/gp/HotfixNotice

    上記のサイトにも記載があるように「一般にはサービスパックのリリースまでお待ち頂くことを推奨しています。」

    という指示に従おうと考えいるのですが、次のサービスパック=SP3がリリースされておりません。

     

    そこで質問なのですが

     1. KB934903 に対応したHtofixでない、セキュリティパッチ等は提供されていないのでしょうか?

     2. やっぱりサービスパック3を待つしかないのでしょうか?

     3. そもそもこの問題に触れてしまうWebアプリの作りを変える必要があるのでしょうか…

     

    以上です。

    なにとぞよろしくお願いします。

     

     

    • 移動 Wang Huang 2012年10月2日 1:34 (移動元:Internet Information Services 5.x, 6.0 - 全般)
    2008年12月18日 5:07

回答

  • はじめまして。だどさんと申します。

     

    このご質問に正確にお答えするのは MS の人じゃないと難しそうですが・・・

    と、前置き(言い訳?)をしておきながら、思ったことをコメントさせていただきますと、、、

     

    1.私も KB をざっと見てみましたが、asp.dll の 6.0.3790.4050 以降のバージョンは作られていないように見受けられますね。

    2.そうなると思います。

    3.ホットフィックスの適用を見送るのでしたら、残念ながらそうなってしまうことになると思います。

     

    ただ、私の知っている限りではホットフィックスだからといって、コードをめちゃめちゃに雑に直して、サービスパックのときに書き直すなどということはやっていないはずです。最初から、ちゃんと、どこがおかしいか、なぜおかしいか、どのようにしたら、どうして直るのか、全部ハッキリさせてから修正します。(特に IIS は OS の一部に分類されるので、コードのチェックも厳しいと思います)

     

    特に今回のように、asp.dll だけ (x86 では) の変更のような場合は、通常は影響は小さなものになりますので、問題を発生させることはほとんど無いと考えていいように思います。御社である程度テストされてパスすれば問題ないと思われます。

     

    ----------------------------------------

    だどさん http://keicode.com/

     

     

    2008年12月18日 7:44
  • だどさん ご回答ありがとうございます。

     

    当方では、Webアプリを作りかえることがかなり難しい現状ですので、やはり素直にサービスパックを待つほうがよいのかなと思いました。

    ただホットフィックスに対する見かたが変わりました(=信頼度UP)ので、こちらを適用してのテストも進めてみようかと思います。

    勿論、得意先等にホットフィックスを適用してもらう場合は、ちゃんと説明してからとします。

     

    ありがとうございました。

     

    あとは MS の人からの正式な回答が得られれば、更に良いんですが・・・。

    WindowsServer2003は終息方向ですので、あまり活発な対応は無いのかもしれないですね。

     

    2008年12月19日 1:02
  • 正式な回答としては、やはり MS のサポートへ問い合わせる他ないでしょうね。

     

    # たとえ MS の方がここでコメントされても、”正式な見解ではない” という断りの元でのコメントになりますからね。

     

    御社でサポート契約をお持ちでしたら、特に問題ないと思うのですが、もし契約がなくても MSDN をお持ちであればいくつか問い合わせ可能と思います。もしそれもない場合は、以下のプロフェッショナルサポートが利用できます。

     

    有償プロフェッショナルサポート

    http://www.microsoft.com/japan/microsoftservices/support/professional.mspx

     

    インシデント消費ポリシーは、現在どうなっているのか存じないのですが、サポート契約センターにて契約時に聞いてみるとよいと思います。(私が在籍していた頃のポリシーで言うと、今回の感じですとおそらくインシデントは消費される方向のような気がします。実際はどうかわかりませんが。)

     

    ご参考になりましたら幸いです。

     

    -----------------------------------------

    だどさん http://keicode.com/

     

     

    2008年12月19日 2:25

すべての返信

  • はじめまして。だどさんと申します。

     

    このご質問に正確にお答えするのは MS の人じゃないと難しそうですが・・・

    と、前置き(言い訳?)をしておきながら、思ったことをコメントさせていただきますと、、、

     

    1.私も KB をざっと見てみましたが、asp.dll の 6.0.3790.4050 以降のバージョンは作られていないように見受けられますね。

    2.そうなると思います。

    3.ホットフィックスの適用を見送るのでしたら、残念ながらそうなってしまうことになると思います。

     

    ただ、私の知っている限りではホットフィックスだからといって、コードをめちゃめちゃに雑に直して、サービスパックのときに書き直すなどということはやっていないはずです。最初から、ちゃんと、どこがおかしいか、なぜおかしいか、どのようにしたら、どうして直るのか、全部ハッキリさせてから修正します。(特に IIS は OS の一部に分類されるので、コードのチェックも厳しいと思います)

     

    特に今回のように、asp.dll だけ (x86 では) の変更のような場合は、通常は影響は小さなものになりますので、問題を発生させることはほとんど無いと考えていいように思います。御社である程度テストされてパスすれば問題ないと思われます。

     

    ----------------------------------------

    だどさん http://keicode.com/

     

     

    2008年12月18日 7:44
  • だどさん ご回答ありがとうございます。

     

    当方では、Webアプリを作りかえることがかなり難しい現状ですので、やはり素直にサービスパックを待つほうがよいのかなと思いました。

    ただホットフィックスに対する見かたが変わりました(=信頼度UP)ので、こちらを適用してのテストも進めてみようかと思います。

    勿論、得意先等にホットフィックスを適用してもらう場合は、ちゃんと説明してからとします。

     

    ありがとうございました。

     

    あとは MS の人からの正式な回答が得られれば、更に良いんですが・・・。

    WindowsServer2003は終息方向ですので、あまり活発な対応は無いのかもしれないですね。

     

    2008年12月19日 1:02
  • 正式な回答としては、やはり MS のサポートへ問い合わせる他ないでしょうね。

     

    # たとえ MS の方がここでコメントされても、”正式な見解ではない” という断りの元でのコメントになりますからね。

     

    御社でサポート契約をお持ちでしたら、特に問題ないと思うのですが、もし契約がなくても MSDN をお持ちであればいくつか問い合わせ可能と思います。もしそれもない場合は、以下のプロフェッショナルサポートが利用できます。

     

    有償プロフェッショナルサポート

    http://www.microsoft.com/japan/microsoftservices/support/professional.mspx

     

    インシデント消費ポリシーは、現在どうなっているのか存じないのですが、サポート契約センターにて契約時に聞いてみるとよいと思います。(私が在籍していた頃のポリシーで言うと、今回の感じですとおそらくインシデントは消費される方向のような気がします。実際はどうかわかりませんが。)

     

    ご参考になりましたら幸いです。

     

    -----------------------------------------

    だどさん http://keicode.com/

     

     

    2008年12月19日 2:25
  • だどさん ご回答ありがとうございました。

     

    その後、社内外のいろんな人にお世話になり、MSのサポートに確認してもらえることになり、以下のような情報を得られました。

    ----

    KB934903の不具合は、2008年2月に公開された MS08-006  「インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (942830)」を適用することで解消できる。

    (※権利関係等、諸々ありますので原文からはデフォルメしてあります)

    ----

     

    実際にテスト環境で試したところ、asp.dll のバージョンが次のようになりました。

     SP2を適用した直後

       6.0.3790.3959(srv03_sp2_rtm070216-1710)

     MS08-006を適用

       6.0.3790.4195(srv03_sp2_gdr.071126-1204)

    またテストプログラム(ASPにて、Session_OnEnd() イベント中に特定の処理を記述したもの)で試したところ、正しくSession_OnEnd() が動作していることを確認できました。

     

    これからWebアプリの検証と、本番を想定したサーバー環境での検証をすることになるのですが、ひとまず「動く」ことを前提に作業を進めたいと思います。

     

     

    だどさんを初め、助言頂いた皆様へ、この場を借りて感謝します。

     

    2009年1月14日 6:01