Solução disponível para a vulnerabilidade de visualizadores de ficheiros

Traduções de Artigos Traduções de Artigos
Artigo: 231368 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

A Microsoft identificou uma vulnerabilidade que ocorre em alguns visualizadores de ficheiro estão incluídos no Microsoft Site Server e no Internet Information Server.

A vulnerabilidade poderia permitir que um visitante do site visualizar, mas não alterar, os ficheiros no servidor, desde que o visitante sabe ou estima o nome de cada ficheiro e tem direitos de acesso ao ficheiro baseia o Windows NT Access controlo listas (ACL).

Causa

As ferramentas do Visualizador de ficheiro não restringem quais um utilizador pode ver os ficheiros.

Resolução

O site Server 3.0

Para resolver este problema, obtenha o service pack mais recente para o Site Server 3.0. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
219292Como obter o Service Pack mais recente do Site Server 3.0
Este problema foi corrigido pela primeira vez no Site Server 3.0 Service Pack 3.

IIS 4.0

Uma correcção foi desenvolvida para o IIS 4.0 e foi registada a seguinte localização de Internet como Fix2450I.exe (Intel) ou Fix2450A.exe (Alpha):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

Como contornar

Para eliminar a vulnerabilidade no seu servidor Web que pode ser causado por estes visualizadores de ficheiro, deve:

  • Remova visualizadores ficheiro afectado, a menos que são especificamente necessárias no Web site. Os visualizadores de ficheiro seguintes são afectados: ViewCode.asp ShowCode.asp, Code.asp, CodeBrws.asp e Winmsdp.exe. Dependendo da instalação específica, nem todos estes ficheiros poderão existir num servidor. Podem existir várias cópias de ficheiros, pelo que deverá efectuar uma procura total dos servidores para localizar todas as cópias.
  • De acordo com as directrizes de segurança padrão, ficheiro permissões devem ser sempre definidas para permitem aos visitantes do Web obter acesso para apenas os ficheiros necessidade e nenhuma outra. Ficheiros que são necessários pelo Web visitantes deverão fornecer o menor privilégio necessário. Por exemplo, ficheiros que necessitam que os visitantes da Web consiga ler mas não escrever deve ser definido para só de leitura.
  • Como regra geral, ficheiros de exemplo e raízes virtuais (vroots) devem sempre ser eliminados a partir de um servidor Web antes de colocar em produção. Se forem necessários ficheiros de exemplo e vroots, permissões de acesso do ficheiro devem ser utilizadas para regular o acesso aos mesmos conforme

Mais Informação

Microsoft Site Server e o Internet Information Server (IIS) incluem ferramentas que permitam aos visitantes Web site ver ficheiros seleccionados no servidor. Estas ferramentas estão instaladas por predefinição no servidor local, mas tem de ser explicitamente instaladas no IIS. Estas ferramentas são fornecidas para permitir aos utilizadores visualizar o código de origem dos ficheiros de exemplo como um exercício de aprendizagem e não se destinam a ser implementado em servidores Web de produção. O problema subjacente nesta vulnerabilidade é que as ferramentas não restringem quais um visitante do site pode visualizar os ficheiros.

Tenha em atenção os seguintes pontos importantes:
  • Visualizadores estes ficheiros não estão instalados por predefinição no IIS. Estes são instalados no IIS apenas se optar por instalar os ficheiros Web de exemplo.
  • Esta vulnerabilidade permite a um visitante Web apenas visualizar ficheiros. Não existe sem possibilidade de alterar os ficheiros ou adicionar ficheiros ao servidor.
  • Esta vulnerabilidade não de qualquer forma ignorar a permissão de ficheiro do Windows NT ACL, Access Control List. Um visitante do Web site pode utilizar estas ferramentas para visualizar apenas os ficheiros cujas ACL permite-lhes acesso de leitura. O administrador do servidor Web determina as permissões específicas para todos os ficheiros no servidor.
  • Os visualizadores apenas podem ser utilizados para ver ficheiros na mesma partição que a página Web actualmente apresentada. Bases de dados, tais como os utilizados por servidores de comércio electrónico, são normalmente armazenadas numa unidade física diferente e não estariam susceptíveis.
  • O visitante do Web site necessita de saber ou adivinharem o nome de cada ficheiro que pretendem visualizar.

Referências adicionais

Propriedades

Artigo: 231368 - Última revisão: 23 de fevereiro de 2014 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 231368

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com