Disponibile per la vulnerabilitÓ di visualizzatori di file di soluzione

Traduzione articoli Traduzione articoli
Identificativo articolo: 231368 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Microsoft ha identificato una vulnerabilitÓ che si verifica in alcuni visualizzatori di file inclusi in Microsoft Site Server e Internet Information Server.

La vulnerabilitÓ potrebbe consentire un visitatore del sito Web per visualizzare, ma non per modificare, i file sul server, a condizione che il visitatore sa o propone contengono il nome di ogni file e dispone dei diritti di accesso per file di Windows NT Access Control Lists (ACLs) in base.

Cause

Gli strumenti del Visualizzatore di file non sono limitato i file che un utente pu˛ visualizzare.

Risoluzione

Site Server 3.0

Per risolvere il problema, ottenere il service pack pi¨ recente per Site Server 3.0. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
219292Come ottenere il Service Pack pi¨ recente per Site Server 3.0
Questo problema Ŕ stato corretto prima di Site Server 3.0 Service Pack 3.

IIS 4.0

Una correzione Ŕ stata sviluppata per IIS 4.0 e registrata il seguente indirizzo Internet come Fix2450I.exe (Intel) o Fix2450A.exe (Alpha):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

Workaround

Per eliminare la vulnerabilitÓ sul server Web che pu˛ essere causato da questi visualizzatori di file, Ŕ necessario:

  • Rimuovere i visualizzatori di file interessato, a meno che non sono necessarie in modo specifico sul sito Web. I visualizzatori di file seguenti non sono interessati: ViewCode.asp, ShowCode.asp, Code.asp, CodeBrws.asp e Winmsdp.exe. In base nell'installazione specifica, non tutti questi file potrebbe essere presente in un server. Potrebbero essere pi¨ copie di alcuni file, Ŕ necessario eseguire una ricerca completa dei server per individuare tutte le copie.
  • Conformemente alle linee guida di protezione standard, file autorizzazioni devono sempre essere impostati per consentire ai visitatori del Web di ottenere accesso solo i file sono necessario e non ad altri utenti. File necessari dal Web, i visitatori devono fornire i privilegi minimi necessari. Ad esempio, i file che devono essere in grado di leggere i visitatori del Web ma non di scrittura deve essere impostata sola lettura.
  • Come regola generale, i file di esempio e directory principali virtuali (vroots) devono sempre essere eliminate da un server Web prima di mettere in produzione. Se sono necessari i file di esempio e vroots, autorizzazioni di accesso file da utilizzare per regolare l'accesso a tali esigenze

Informazioni

Microsoft Site Server e di Internet Information Server (IIS) includono strumenti che consentono di visitatori del sito Web visualizzare file selezionati sul server. Questi strumenti vengono installati per impostazione predefinita in Site Server, ma devono essere installati in modo esplicito in IIS. Questi strumenti vengono forniti per consentire agli utenti di visualizzare il codice sorgente dei file di esempio come un esercizio di formazione e non sono destinati a essere distribuiti su server Web di produzione. Il problema sottostante di questa vulnerabilitÓ Ŕ che gli strumenti non sono limitato i file che un visitatore del sito Web visualizzabili.

Tenere presente i punti importanti seguenti:
  • Questi visualizzatori di file non sono installati per impostazione predefinita, in IIS. Vengono installati in IIS solo se si sceglie di installare i file Web di esempio.
  • Questa vulnerabilitÓ consente a un visitatore del sito Web solo visualizzare i file. Non Ŕ possibile modificare i file o aggiungere file al server.
  • Questa vulnerabilitÓ non in alcun modo ignorare l'autorizzazione di file ACL di Windows NT. Un visitatore del sito Web Ŕ possibile utilizzare questi strumenti per visualizzare solo i file cui ACL consente l'accesso in lettura. L'amministratore del server Web determina le autorizzazioni specifiche per tutti i file sul server.
  • I visualizzatori sono utilizzabili solo per visualizzare i file nella stessa partizione della pagina Web attualmente visualizzata. Database, ad esempio quelli utilizzati dai server per l'e-commerce, vengano in genere memorizzati in un'unitÓ fisica diversa e non sarebbe a rischio.
  • Il visitatore del sito Web deve conoscere o indovinare il nome di ogni file che desiderano visualizzare.

Ulteriori riferimenti

ProprietÓ

Identificativo articolo: 231368 - Ultima modifica: domenica 23 febbraio 2014 - Revisione: 4.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Chiavi:á
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 231368
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com