Oplossing voor beveiligings lek bij bestands Viewers beschikbaar

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 231368 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Microsoft heeft een beveiligings probleem dat zich voordoet in sommige bestandsviewers die geleverd bij Microsoft Site Server en Internet Information Server worden aangeduid.

Het beveiligings lek kan een bezoeker van de website te bekijken, maar niet te wijzigen, bestanden op de server, mits de bezoeker weet of de naam van elk bestand dit en toegangs rechten om het bestand op basis van de Windows NT-toegangsbeheerlijsten (ACL's) heeft.

Oorzaak

De hulp programma's voor file viewer beperken niet welke bestanden die een gebruiker kan bekijken.

Oplossing

Siteserver 3. 0

Dit probleem kunt oplossen, verkrijgen van het meest recente servicepack voor Site Server 3. 0. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
219292Het verkrijgen van het meest recente servicepack voor Site Server 3. 0
Site Server 3. 0 Service Pack 3 is voor het eerst een correctie aangebracht voor dit probleem.

IIS 4. 0

Een correctie voor IIS 4. 0 is ontwikkeld en zijn geboekt naar de volgende Internet-locatie (Intel) Fix2450I.exe of Fix2450A.exe (Alpha):
FTP://FTP.Microsoft.com/bussys/IIS/IIS-Public/fixes/USA/ViewCode-fix/

Workaround

Het beveiligings lek op de webserver die kan worden veroorzaakt door bestandsviewers elimineren, moet u:

  • Het betrokken bestandsviewers, verwijderen, tenzij ze specifiek zijn vereist op de Website. De volgende bestandsviewers zijn beïnvloed: ViewCode.asp, ShowCode.asp, Code.asp, CodeBrws.asp en Winmsdp.exe. Afhankelijk van de specifieke installatie mogelijk niet al deze bestanden op een server aanwezig zijn. Er zijn mogelijk meerdere exemplaren van Sommige bestanden, dus u moet een volledige zoekfunctie van uw servers uitvoeren om te zoeken alle exemplaren.
  • In overeenstemming met de standaard beveiligings richtlijnen bestands machtigingen moet altijd worden ingesteld waarmee bezoekers van uw website toegang te krijgen tot de bestanden alleen ze nodig hebben, en geen andere. Bestanden die nodig zijn voor het Web bezoekers moeten de minimaal benodigde bevoegdheden verschaffen. Bijvoorbeeld: bestanden die bezoekers van uw website moeten kunnen lezen maar niet schrijven worden ingesteld op alleen-lezen.
  • Als algemene regel, moeten voorbeeldbestanden en virtuele hoofd mappen (vroots) altijd worden verwijderd vanaf een webserver voordat u deze in productie gebracht. Als voorbeeldbestanden en vroots nodig zijn, moeten toegangs machtigingen tot bestanden worden gebruikt voor toegang tot Als de juiste

Meer informatie

Microsoft Site Server en Internet Information Server (IIS) bevat hulp programma's waarmee website bezoekers naar geselecteerde bestanden op de server weer geven. Deze hulp programma's worden standaard in de Site Server geïnstalleerd, maar moeten expliciet in IIS zijn geïnstalleerd. Deze programma's zijn bedoeld om gebruikers de broncode van de voorbeeldbestanden als een trainings oefening bekijken en zijn niet bedoeld om te worden geïmplementeerd op productie webservers. Dit beveiligings lek in het onderliggende probleem is dat de programma's niet beperken welke bestanden een bezoeker van de website kunt bekijken.

Houd rekening met de volgende belangrijke punten:
  • Bestandsviewers worden in IIS standaard niet geïnstalleerd. Ze zijn in IIS alleen geïnstalleerd als u wilt installeren de voorbeeldbestanden Web.
  • Dit beveiligings lek kan een website bezoeker alleen bestanden weer geven. Er is geen mogelijkheid om bestanden wijzigen of bestanden toevoegen aan de server.
  • Dit beveiligings lek komt niet op geen enkele manier omzeilen het Windows NT-bestand machtiging ACL's. Een website bezoeker kunt deze hulp programma's gebruiken alleen bestanden waarvan ACL's kunnen leestoegang geven. De beheerder van de webserver bepaalt de specifieke machtigingen voor alle bestanden op de server.
  • Het publiek kunnen alleen worden gebruikt om bestanden op dezelfde partitie te bekijken Als de webpagina weer gegeven. Data bases, zoals die worden gebruikt door e-commerce servers doorgaans worden opgeslagen op een ander fysiek station en zou geen risico.
  • De website bezoeker moet kennen of raden van de naam van elk bestand dat ze willen weer geven.

Aanvullende naslag informatie

Eigenschappen

Artikel ID: 231368 - Laatste beoordeling: zondag 23 februari 2014 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
Trefwoorden: 
kbnosurvey kbarchive kbhotfixserver kbqfe kbpending kbprb kbmt KB231368 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:231368

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com