Iniciar Sess�o

Select the product you need help with

Solu��o dispon�vel para a vulnerabilidade de visualizadores de ficheiros

Artigo: 231368 - Ver produtos para os quais este artigo se aplica.

Ver isen��o de responsabilidades para tradu��o autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Reduzir tudo

A Microsoft identificou uma vulnerabilidade que ocorre em alguns visualizadores de ficheiro est�o inclu�dos no Microsoft Site Server e no Internet Information Server.

A vulnerabilidade poderia permitir que um visitante do site visualizar, mas n�o alterar, os ficheiros no servidor, desde que o visitante sabe ou estima o nome de cada ficheiro e tem direitos de acesso ao ficheiro baseia o Windows NT Access controlo listas (ACL).

Voltar ao topo | Submeter coment�rios

Causa

As ferramentas do Visualizador de ficheiro n�o restringem quais um utilizador pode ver os ficheiros.

Voltar ao topo | Submeter coment�rios

Resolu��o

O site Server 3.0

Para resolver este problema, obtenha o service pack mais recente para o Site Server 3.0. Para obter informa��es adicionais, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

219292

(http://support.microsoft.com/kb/219292/EN-US/ )

Como obter o Service Pack mais recente do Site Server 3.0

Este problema foi corrigido pela primeira vez no Site Server 3.0 Service Pack 3.

IIS 4.0

Uma correc��o foi desenvolvida para o IIS 4.0 e foi registada a seguinte localiza��o de Internet como Fix2450I.exe (Intel) ou Fix2450A.exe (Alpha):

ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

(ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/)

Voltar ao topo | Submeter coment�rios

Como contornar

Para eliminar a vulnerabilidade no seu servidor Web que pode ser causado por estes visualizadores de ficheiro, deve:

Remova visualizadores ficheiro afectado, a menos que s�o especificamente necess�rias no Web site. Os visualizadores de ficheiro seguintes s�o afectados: ViewCode.asp ShowCode.asp, Code.asp, CodeBrws.asp e Winmsdp.exe. Dependendo da instala��o espec�fica, nem todos estes ficheiros poder�o existir num servidor. Podem existir v�rias c�pias de ficheiros, pelo que dever� efectuar uma procura total dos servidores para localizar todas as c�pias.
De acordo com as directrizes de seguran�a padr�o, ficheiro permiss�es devem ser sempre definidas para permitem aos visitantes do Web obter acesso para apenas os ficheiros necessidade e nenhuma outra. Ficheiros que s�o necess�rios pelo Web visitantes dever�o fornecer o menor privil�gio necess�rio. Por exemplo, ficheiros que necessitam que os visitantes da Web consiga ler mas n�o escrever deve ser definido para s� de leitura.
Como regra geral, ficheiros de exemplo e ra�zes virtuais (vroots) devem sempre ser eliminados a partir de um servidor Web antes de colocar em produ��o. Se forem necess�rios ficheiros de exemplo e vroots, permiss�es de acesso do ficheiro devem ser utilizadas para regular o acesso aos mesmos conforme

Voltar ao topo | Submeter coment�rios

Mais Informa��o

Microsoft Site Server e o Internet Information Server (IIS) incluem ferramentas que permitam aos visitantes Web site ver ficheiros seleccionados no servidor. Estas ferramentas est�o instaladas por predefini��o no servidor local, mas tem de ser explicitamente instaladas no IIS. Estas ferramentas s�o fornecidas para permitir aos utilizadores visualizar o c�digo de origem dos ficheiros de exemplo como um exerc�cio de aprendizagem e n�o se destinam a ser implementado em servidores Web de produ��o. O problema subjacente nesta vulnerabilidade � que as ferramentas n�o restringem quais um visitante do site pode visualizar os ficheiros.

Tenha em aten��o os seguintes pontos importantes:

Visualizadores estes ficheiros n�o est�o instalados por predefini��o no IIS. Estes s�o instalados no IIS apenas se optar por instalar os ficheiros Web de exemplo.
Esta vulnerabilidade permite a um visitante Web apenas visualizar ficheiros. N�o existe sem possibilidade de alterar os ficheiros ou adicionar ficheiros ao servidor.
Esta vulnerabilidade n�o de qualquer forma ignorar a permiss�o de ficheiro do Windows NT ACL, Access Control List. Um visitante do Web site pode utilizar estas ferramentas para visualizar apenas os ficheiros cujas ACL permite-lhes acesso de leitura. O administrador do servidor Web determina as permiss�es espec�ficas para todos os ficheiros no servidor.
Os visualizadores apenas podem ser utilizados para ver ficheiros na mesma parti��o que a p�gina Web actualmente apresentada. Bases de dados, tais como os utilizados por servidores de com�rcio electr�nico, s�o normalmente armazenadas numa unidade f�sica diferente e n�o estariam suscept�veis.
O visitante do Web site necessita de saber ou adivinharem o nome de cada ficheiro que pretendem visualizar.

Refer�ncias adicionais

Boletim de seguran�a da Microsoft MS99-013, "solu��o dispon�vel para a vulnerabilidade de visualizadores de ficheiros"
http://www.microsoft.com/technet/security/Bulletin/MS99-013.mspx
(http://www.microsoft.com/technet/security/Bulletin/MS99-013.mspx)

Voltar ao topo | Submeter coment�rios

Propriedades

Artigo: 231368 - �ltima revis�o: quinta-feira, 26 de Outubro de 2006 - Revis�o: 4.3

A informa��o contida neste artigo aplica-se a:

Microsoft Site Server 3.0 Standard Edition
Microsoft Site Server 3.0 Commerce Edition
Microsoft Commercial Internet System 2.0
Microsoft BackOffice Server 4.0
Microsoft BackOffice Server 4.5
Microsoft Internet Information Server 4.0

kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 231368

(http://support.microsoft.com/kb/231368/en-us/ )

Voltar ao topo | Submeter coment�rios