Netcraft - Internet Research, Anti-Phishing and PCI Security Services

Netcraftの報告"Most IIS Sites Unlikely to be Affected by WebDAV Vulnerability"によると、Microsoft IIS 6.0が稼働している6,200万サイトの多くに、WebDAVのリモート認証バイパスの脆弱性の可能性あるという。Microsoft IIS 6.0の90%以上はMicrosoftのサイトを運用するサーバとして使われている。

報告によると、Windows Server 2003がアプリケーションサーバとして動作する場合、WebDAVはMicrosoft IIS 6.0ではデフォルトでは有効にはなっていないため、実質的に脆弱性があるサーバは6,200万サイトよりも少ないとみられるという。ただし、ファイアウォールを通り抜けて簡単にコンテンツの管理が実現できることからWebDAVを有効にしているユーザもいるとされている。

Microsoftは18日(米国時間)、Microsoft Security Advisory (971492)としてセキュリティアドバイザリを報告。Netcraftの説明によると、Windows 2000 ServerはIIS 5.0とともにWebDAVもインストールするため、同脆弱性を受ける可能性があるという。