Solución disponible para usuarios archivo

Seleccione idioma Seleccione idioma
Id. de artículo: 231368 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Síntomas

Microsoft ha identificado una vulnerabilidad que se produce en algunos visores de archivos que se incluyen con Microsoft Site Server e Internet Information Server.

La vulnerabilidad podría permitir un visitante sitio Web para ver, pero no cambiar archivos en el servidor, siempre que el visitante conoce o adivine el nombre de cada archivo y tiene derechos de acceso al archivo según las Windows listas de control de acceso (ACL).

Causa

Las herramientas del Visor de archivo no restringen los archivos que un usuario puede ver.

Solución

Site Server 3.0

Para resolver este problema, consiga el Service Pack más de para Site Server 3.0. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
219292Cómo obtener el Service Pack más reciente de Site Server 3.0
Este problema se corrigió por primera vez en el Service Pack 3 de Site Server 30.

IIS 4.0

Una revisión se ha desarrollado para IIS 4.0 y se ha registrado en la siguiente ubicación de Internet como Fix2450I.exe (Intel) o Fix2450A.exe (Alpha):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

Solución

Para eliminar la vulnerabilidad en el servidor Web que puede deberse a estos visores de archivo, debe:

  • Quitar los visores de archivo afectado, a menos que son necesarias en el sitio Web concreto. Se ven afectados los siguientes visores de archivo: publicada, ShowCode.asp, Code.ASP, CodeBrws.asp y Winmsdp.exe. Dependiendo de la instalación específica, no todos estos archivos pueden estar presentes en un servidor. Puede haber varias copias de algunos archivos, lo que debe realizar una búsqueda completa de los servidores para localizar todas las copias.
  • De acuerdo con las directrices de seguridad estándar, archivo siempre se deben establece permisos para permitir que los visitantes del Web tener acceso a sólo los archivos necesita y no otros. Archivos necesarios por Web a los visitantes deben proporcionar los privilegios mínimos necesarios. Por ejemplo, archivos que los visitantes del sitio Web deben poder leer pero no escritura debe establecerse en de sólo lectura.
  • Como regla general, los archivos de ejemplo y raíces virtuales (vroots) siempre se deben eliminar desde un servidor Web antes de ponerlo en producción. Si se necesitan archivos de ejemplo y vroots, archivo permisos de acceso debe utilizarse para regular el acceso a ellos según corresponda

Más información

Microsoft Site Server y Information Server (IIS) incluyen herramientas que permiten los visitantes del sitio Web ver archivos seleccionados en el servidor. Estas herramientas se instalan de forma predeterminada en Site Server, pero deben instalarse explícitamente en IIS. Estas herramientas se proporcionan para permitir a los usuarios ver el código fuente de los archivos de ejemplo como un ejercicio de aprendizaje y no están pensadas para implementarse en servidores Web de producción. El problema subyacente de esta vulnerabilidad es que las herramientas no restringen qué archivos puede ver un visitante del sitio Web.

Tenga en cuenta los siguientes puntos importantes:
  • Estos visores de archivos no están instalados de forma predeterminada en IIS. Se instalan en IIS sólo si elige instalar los archivos Web de ejemplo.
  • Esta vulnerabilidad permite al visitante Web sólo ver archivos. No es posible cambiar los archivos o agregar archivos al servidor.
  • Esta vulnerabilidad no de ningún modo omitir el permiso de archivo ACL de Windows NT. Un visitante del sitio Web puede utilizar estas herramientas para ver sólo los archivos cuyas ACL les permite el acceso de lectura. El administrador del servidor Web determina los permisos específicos para todos los archivos en el servidor.
  • Los visores sólo pueden utilizarse para ver archivos en la misma partición que la página Web mostrada actualmente. Bases de datos, tales como los utilizados por servidores de comercio electrónico suelen almacenarse en una unidad física diferente y no sería expuestos.
  • El visitante del sitio Web necesita conocer o adivine el nombre de cada archivo que desean ver.

Referencias adicionales

Propiedades

Id. de artículo: 231368 - Última revisión: domingo, 23 de febrero de 2014 - Versión: 4.3
La información de este artículo se refiere a:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Palabras clave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 231368

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com