1. ホーム
  2. 製品
  3. ソフトウェア
  4. ライブラリー
  5. インフォメーション&ダウンロード
  6. ソフトウェア セキュリティ
  7. NetCOBOL for .NETに含まれるMSDE 2000について (2003年1月29日)

NetCOBOL for .NETに含まれるMSDE 2000について (2003年1月29日)

 本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
 また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
 本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
 お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。

 本セキュリティ広報を再配布する際には、全文を転載すること。

[概要]

問題点:NetCOBOL Base Edition for .NETに同梱されているMSDE 2000にセキュリティ修正プログラムを適用していないと、SQL Slammerワームの標的になる可能性があります。
製品提供元:富士通株式会社
該当製品:NetCOBOL Base Edition for .NET V1.0
該当システム:Microsoft Windows NT 4.0/ 2000/ XP
システムへの影響:MSDE 2000がSQL Slammerワームに感染する可能性があります。
一時的な回避方法:4.に示します。
パッチ:あり。(マイクロソフト株式会社から提供されています)

1. 背景

 2003年1月25日よりMicrosoft SQL Server 2000 および Microsoft SQL Server 2000 Desktop Engine(=MSDE 2000) を標的とした SQL Slammer ワームによる被害が発生しています。NetCOBOL for .NETの開発環境製品(NetCOBOL Base Edition for .NET)にはMSDE 2000が同梱されており、このMSDE 2000にセキュリティ修正プログラムを適用していない場合、SQL Slammerワームの標的になる可能性があります。

 運用環境製品(NetCOBOL Base Edition クライアント運用パッケージ for .NETまたはNetCOBOL Base Edition サーバ運用パッケージ for .NET)にはMSDE 2000は同梱されていません。

 SQL Slammer ワームに関しては、マイクロソフト株式会社が公開している以下の情報を参照してください。
 http://technet.microsoft.com/ja-jp/library/dd362939.aspx

 NetCOBOLについては以下のページを参照してください。
 http://software.fujitsu.com/jp/cobol/

2. 該当システムの範囲

該当コマンド/ファイル製品名対象OS
MSDE 2000NetCOBOL Base Edition for .NET V1.0Windows NT 4.0
Windows 2000
Windows XP

3. 発見されている問題点

 NetCOBOL Base Edition for .NET自身はMSDE 2000を使用していません。しかし、NetCOBOL Base Edition for .NETには、COBOLへの統合開発環境を提供することを目的として、Microsoft Visual Basic .NET Standardが同梱されており、Microsoft Visual Basic .NET StandardにはMSDE 2000が同梱されています。

 NetCOBOL Base Edition for .NETをインストールしただけではMSDE 2000はインストールされません。そのかわり、以下の二つのセットアッププログラムがハードディスクへコピーされます。

  • MSDE 2000のセットアッププログラム
    (既定のインストール先フォルダはC:¥Program Files¥Microsoft Visual Studio .NET¥Setup¥MSDE¥)
  • .NET Framework SDKサンプルのためのセットアッププログラム
    ([スタート] - [プログラム] - [Microsoft .NET Framework SDK] - [サンプルおよびクイック スタート チュートリアル]からセットアッププログラムを実行することができます)

 これらのいずれかのセットアッププログラムを実行するとMSDE 2000がインストールされます。

 このMSDE 2000には脆弱性が発見されており、セキュリティ修正プログラムがマイクロソフト株式会社より公開されています。セキュリティ修正プログラムを適用しない場合、このMSDE 2000がSQL Slammerワームの標的になる可能性があります。

4. 一時的な回避方法

 

マイクロソフト株式会社がhttp://technet.microsoft.com/ja-jp/library/dd362939.aspxにおいて公開している情報に従って対処してください。
 ただし、.NET Framework SDKサンプルのためのセットアッププログラムによってインストールされたMSDE 2000の場合、Service Pack 2および3の適用に失敗するという現象が発覚しています。
この現象の対処法に関しては、上記ページ中の「よくある質問と回答」の「.NET Framework SDK の Quick Start Tutorial でインストールされるMSDE 2000 に Service Pack 3 をインストールできません。」の項を参照して対処してください。

5. パッチ情報

 マイクロソフト株式会社が公開している以下のページを参照してください。
 http://technet.microsoft.com/ja-jp/library/dd362939.aspx

6. 改版履歴

  • 2003年1月29日 新規掲載

ページの先頭へ