本脆弱性の詳細情報は下記のURLを参照してください。

[マイクロソフト セキュリティ アドバイザリ（971492）]
http://www.microsoft.com/japan/technet/security/advisory/971492.mspx

ちょっとこのアドバイザリ、記述が曖昧で分かりにくいですね。なんか、通常のACL設定では書き込みはできないから大丈夫よ的な印象を受けるけど、こちらで動作を確認してみると、IISで該当フォルダに書き込み権を設定していれば新規ファイルの作成も出来てしまっているようで。

そこで、WebDAVの脆弱性を回避するためのISAPIフィルタを作成してみました。理想的にはMSからパッチが出るまでの間はWebDAVを無効にすることが一番なのですが、運用上、どうしても、どうしても、WebDAVを使いたいという方は本フィルタを導入することで問題を回避することができます。

本フィルタはWebDAVリクエスト中に存在する不正エンコード部分を除去後、WebDAVへ処理を継続させることにより、WebDAVにおける認証処理のバイパスを回避します。現在、以下の環境にて動作を確認しています。

Microsoft Windows Server 2003 Enterprise Edition Service Pack 2
Internet Information Service (IIS) 6.0

たぶんIIS5でも動作すると思います。

ダウンロードはこちらから。
（※）zipファイルの直リンクができないようので、お手数ですがブラウザにURLをコピペしてダウンロードしてください。

http://www.geocities.jp/digisecdog/WDZDFilter.zip

ダウンロード後ZIP解凍して、含まれているREADMEを参考にしてIISにこのISAPIフィルタを設定してください。なお、いわずもがなですが、一切の保証はいたしません。まぁ、とりあえず評価してみてください。指摘された問題については可能な限りがんばってアップデートしていきます。まぁ、MSのパッチが出るまでですが。