Dosya görüntüleyicileri güvenlik açığı kullanılabilir çözüm

Makale çevirileri Makale çevirileri
Makale numarası: 231368 - Bu makalenin geçerli olduğu ürünleri görün.
Bu makale arşivlenmiştir. "Olduğu gibi" sunulmaktadır ve bundan sonra güncelleştirilmeyecektir.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Microsoft, Microsoft Site Server ınternet ınformation Server ile birlikte gelen bazı dosya görüntüleyiciler oluşan bir güvenlik açığını belirlemiştir.

Bu güvenlik açığından, Web site ziyaretçisinin görüntülemek, ancak ziyaretçi biliyor veya her dosyanın adını tahmin ve Windows NT erişim denetim listelerinin (ACL) temel alan bir dosyaya erişim haklarına sahip koşuluyla, dosya sunucuda değiştirme olanak verebilir.

Neden

Dosya görüntüleyici araçları kullanıcı görüntüleyebilir, hangi dosyaların kısıtlamaz.

Çözüm

Site Server 3.0

Bu sorunu gidermek için <a0></a0>, Site Server 3.0 için en son hizmet paketini edinin. Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
219292Site Server 3.0 en son hizmet paketi nasıl elde edilir
Bu sorun ilk olarak Site Server 3.0 Service Pack 3'te giderilmiştir.

IIS 4.0

Düzeltme, IIS 4.0 için geliştirilen ve ınternet aşağıdaki konuma Fix2450I.exe (ıntel) veya <a1>Fix2450A.exe</a1> (Alpha) olarak deftere nakledilmiş:
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

Pratik Çözüm

Bu dosya görüntüleyiciler tarafından neden sunucunuz üzerinde bir güvenlik açığını ortadan kaldırmak için şunları yapmalısınız:

  • Web sitesinde gerekli olmadıkça, etkilenen bir dosyayı görüntüleyiciler, kaldırın. Aşağıdaki dosya görüntüleyiciler etkilenir: ViewCode.asp, ShowCode.asp Code.asp CodeBrws.asp ve Winmsdp.exe. Özel yükleme türüne bağlı olarak, tüm bu dosyaların bir sunucuda bulunabilir. Tüm kopyalarını bulmak için sunucularınızın tam arama yapmak; bu nedenle bazı dosyalar, birden çok kopyası olabilir.
  • Standart güvenlik kılavuzlarınıza, dosya izinleri her zaman kazanmak, Web ziyaretçilerinin etkinleştirmek için ayarlanmalıdır erişim yalnızca dosyalar için gerekli ve diğerleri yok. Ziyaretçilerin, gerekli en az ayrıcalığa sağlamalıdır Web tarafından gerekli olan dosyalar. Örneğin, yazma değil, ancak Web ziyaretçilerinin okuyabilmesi için gereken dosyalar salt okunur ayarlanmalıdır.
  • Üretime yerleştirmeden önce Genel kural olarak, örnek dosyaların ve sanal kökleri (vroots) her zaman bir Web sunucusundan silinmelidir. Uygun bunlara erişim yetkisine sahip örnek dosyalar ve vroots gerekirse, dosya erişim izinleri kullanılmalıdır

Daha fazla bilgi

Microsoft Site Server'ı ve ınternet ınformation Server (IIS) seçili dosyaları sunucu üzerinde görüntülemek, Web sitesi ziyaretçileri sağlayan araçlar içerir. Bu araçlar, varsayılan olarak, Site Server yüklü, ancak açıkça IIS yüklü olmalıdır. Bu araçlar, kullanıcıların bir öğrenme örnek olarak, örnek dosyaların kaynak kodunu görüntülemek sağlanan ve üretim Web sunucularında dağıtmış amaçlanmamıştır. Bu güvenlik açığından temel sorunu araçları görüntüleyebilir ve Web site ziyaretçisinin hangi dosyaların kısıtlamayın ' dir.

Aşağıdaki önemli noktaları unutmayın:
  • Bu dosya görüntüleyiciler, ııs'de varsayılan olarak yüklenmez. Yalnızca örnek Web dosyalarını yüklemeyi seçerseniz, ııS'DE yüklü.
  • Bu güvenlik açığından, yalnızca dosyaları görüntülemek, Web site ziyaretçisinin sağlar. Dosyaları değiştirmesine veya dosyaları sunucuya eklemek için hiçbir özelliği yoktur.
  • Bu güvenlik açığından herhangi bir şekilde ACL'lerini Windows NT dosya izni atlama değil. Web site ziyaretçisi, ACL sağlar bunları okuma erişimi dosyaları görüntülemek için bu araçları kullanabilirsiniz. Web sunucusu yöneticisi, sunucu üzerindeki tüm dosyalar için özel izinleri belirler.
  • Görüntüleyiciler, yalnızca o anda görüntülenen Web sayfası ile aynı bölüme dosyaları görüntülemek için kullanılabilir. Veritabanları, e-ticaret sunucuları tarafından kullanılan gibi genellikle farklı bir fiziksel sürücüde depolanan ve risk altında olacaktır.
  • Web sitesi ziyaretçisinin biliyor ya da görüntülemek istediğiniz her dosya adını tahmin gerekir.

Ek başvurular

Özellikler

Makale numarası: 231368 - Last Review: 23 Şubat 2014 Pazar - Gözden geçirme: 4.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
Anahtar Kelimeler: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:231368

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com