none
セキュリティ情報 MS14-004 について RRS feed

  • 質問

  • セキュリティ全般のフォーラムがなくなり、DynamicsAXのフォーラムもないようですので、
    こちらに質問させていただきます。


    マイクロソフト セキュリティ情報 MS14-004 - 重要
    Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる (2880826)

    https://technet.microsoft.com/ja-jp/security/bulletin/ms14-004#section3


    今年の1月15日に公開された上記のセキュリティ情報について質問があります。

    ここに書かれている脆弱性は、「悪意のあるユーザーが Dynamics AX である操作をすると、
    AXのサービスが停止されてしまう」といった内容だと理解しました。

    セキュリティパッチが公開されているので、適用する方がいいのは解っているのですが、
    簡単には実施できない状況にあります。

    悪意のあるユーザーが外部から侵入する可能性はない環境ですので、そちらは問題ないと
    考えているのですが、ユーザーが「ある操作」を行ってサービスが停止してしまわないか
    ということを懸念しております。

    (ページ中段)

    脆弱性の情報
    →クエリ フィルター DoS の脆弱性 - CVE-2014-0261
    →よく寄せられる質問

    > 何が原因で起こりますか?
    > この脆弱性は、Microsoft Dynamics AX がユーザー入力を正しく処理しない場合に起こります。


    上記に記載されている、「ユーザー入力を正しく処理しない場合」に起こるとありますが、
    具体的に Dynamics AX でどのような処理(操作?)をした場合にサービス停止が起こるのでしょうか?

    使用しているクライアントは、「Microsoft Dynamics AX 2009 Service Pack 1」です。

    いろいろ調べてみたのですが、どこにもこの処理についての記載が見当たりませんでした。
    ユーザーが普通に操作していて起こる可能性が低いかどうかを判断したいと思っております。

    セキュリティの都合上、このような場合の詳細は記載しないことになっている、という回答でも
    構いませんので、お答えいただければと思います。

    よろしくお願い致します。

    2014年4月9日 1:28

回答

  • 自己レスです。

    回答がなかったので、技術サポートに問い合わせました。

    攻撃者に情報が悪用されることを防ぐため、詳細の情報公開は行っていない

    という回答をいただきましたので、この質問についてはクロースさせていただきます。

    • 回答としてマーク Ajantaa 2014年4月21日 23:46
    2014年4月21日 9:17