Zabraňuje zobrazení známé soubory serveru ViewCode.asp

Překlady článku Překlady článku
ID článku: 231656 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Výchozí instalace serveru Microsoft Site zahrnovat ViewCode.asp nástroj poskytován tak, aby uživatelé mohou zobrazit soubory v ukázkové weby. Návštěvník webu však lze také zobrazit jakýkoli soubor na serveru, jehož seznam řízení přístupu (ACL) umožňuje přístup podle návštěvníci webu a jehož názvu zná návštěvník nebo pokusů.

Prosím pamatujte však, že návštěvník webové nelze změnit, odstranit nebo přidat všechny soubory.

Příčina

Nástroj ViewCode.asp není omezit soubory, které návštěvník webu mohou zobrazit.

Řešení

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro Site Server 3.0. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
219292Jak získat nejnovější aktualizaci Service Pack pro Site Server 3.0

Jak potíže obejít

Odebrat všechny kopie ViewCode.asp z výrobní server nebo nastavte ACL pro ně, takže je lze použít pouze příslušným uživatelům.

Poznámka: Za postupy zabezpečení normální ACL na serveru by měl vždy nastavena povolit návštěvníkům webu zobrazit pouze soubory nutné přesto a Odepřít přístup ke všem ostatním.

Prohlášení

Tento problém byl poprvé opraven v aktualizaci Site Server 3.0 Service Pack 3.

Další informace

Společnost Microsoft vysoce doporučuje zákazníkům vyhodnotit stupeň rizika této chyby zabezpečení představuje jejich systémy a zjistit, zda chcete stáhnout a nainstalovat opravu.

Tato oprava řeší chybu zabezpečení omezením ViewCode.asp k zobrazení pouze soubory v aktuálním adresáři. Operátory webu, kteří nemají potřebu poskytovat možnost zobrazení souboru však může zvolit ze serveru zcela odebrat všechny kopie ViewCode.asp.

Prostředí, ve které ViewCode.asp způsobuje riziko zabezpečení

Ohrožení zabezpečení je omezen na situace, ve které všechny následující platí:
  • Servery ukázkové servery, nainstalován.
  • Ukázkové servery nejsou chráněny ACL.
  • Citlivá data na stejné logické jednotky jako ViewCode.asp existuje.
  • Soubory obsahující citlivá data "Everyone" Povolit uživatelské skupiny čtení nebo větší přístup seznamu ACL.
  • Uživatelé se zlými úmysly znát cestu a název souboru soubory, které obsahují citlivá data.

Instalace fix

Oprava Instalační program Update.exe, automaticky nahradí stávající soubory ViewCode.asp.

Poznámka: Common_viewcode.ASP se používá k nahrazení souboru "běžné" ViewCode.asp v níže uvedených šesti adresářů. PubSys_viewcode.asp používá nahradit existující ViewCode.asp v publikování ukázkové (\Microsoft Site Server\SiteServer\Publishing).

Verze a umístění ViewCode.asp

Dokončení instalace Site Server 3.0 nainstaluje různé kopie ViewCode.asp v různých adresářích. Proto pokud můžete zvolit, odebrat provádět vyhledávání úplného disku vyhledejte všechny kopie.

Následující šest adresáře obsahují stejné verze ViewCode.asp:
  • \Microsoft webu Server\Sites\Knowledge\Membership\Inspired
  • \Microsoft webu Server\Sites\Knowledge\Membership\Inspiredtutorial
  • \Microsoft webu Server\Sites\Samples\Knowledge\Membership\Inspired
  • \Microsoft webu Server\Sites\Samples\Knowledge\Membership\Inspiredtutorial
  • \Microsoft webu Server\Sites\Samples\Knowledge\Push
  • \Microsoft webu Server\Sites\Samples\Knowledge\Search

Však publikování ukázkové (\Microsoft Site Server\SiteServer\Publishing) obsahuje jinou verzi z ViewCode.asp přizpůsobené práci konkrétně s publikováním ukázky, což umožňuje ukázky fungovat správně jako ale zabrání uživateli se zlými úmysly znemožníte přístup na soubory mimo ukázkové weby.

Poznámka: ViewCode.asp by měl vždy obsahovat oprávnění ACL nastavit Administrators pouze nebo skupiny, která je omezen na vývojáře obsahu webu.

Změny kódu v opravit

Problém je ViewCode.asp používá "server.mappath" bez omezení na co předané této funkci. Protože ViewCode.asp umožňuje uživateli zadat cestu a název souboru, uživateli se zlými úmysly by mohl získat přístup k a čtení (jen pro čtení), na stejném disku logické jako ViewCode.asp je žádné známé soubor není chráněný (nastavit pro něj žádné ACL).

Je přidána funkce InitFileReading v ViewCode.asp kód způsobem (tyto řádky kódu může obtékat):
'Limit function to .asp and .vbo files in current and child directories
If instr(1, strVirtualPath, "..", 1) <> 0 Then
    Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
    fFileError = TRUE
ElseIf instr(1, strVirtualPath, ".asp", 1) = 0 And instr(1, strVirtualPath, ".vbo", 1) = 0 Then
    Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
    fFileError = TRUE
ElseIf Left( strVirtualPath, 1) = "/" or Left( strVirtualPath, 1) = "\" Then
    If instr(1, strVirtualPath, "/siteserver/publishing", 1) = 0 And instr(1, strVirtualPath, "/sites/knowledge/membership", 1) = 0 And instr(1, strVirtualPath, "/sites/samples/knowledge", 1) = 0 Then
        Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
        fFileError = TRUE
    End If
End If
				
for the publikování webů ukázkové mírně odlišné změny je požadováno (tyto řádky kódu může obtékat):
'Limit function to .asp, .vbo, .inc, .txt, and .prf files in current, cmsample, fpsample, and child directories
If instr(1, strVirtualPath, "..", 1) <> 0 Then
    Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
    fFileError = TRUE
ElseIf instr(1, strVirtualPath, ".asp", 1) = 0 And instr(1, strVirtualPath, ".vbo", 1) = 0 And instr(1, strVirtualPath, ".inc", 1) = 0 And instr(1, strVirtualPath, ".txt", 1) = 0 And instr(1, strVirtualPath, ".prf", 1) = 0 Then
    Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
    fFileError = TRUE
ElseIf Left( strVirtualPath, 1) = "/" or Left( strVirtualPath, 1) = "\" Then
    If instr(1, strVirtualPath, "/siteserver/publishing", 1) = 0 And instr(1, strVirtualPath, "/cmsample", 1) = 0 And instr(1, strVirtualPath, "/fpsample", 1) = 0 Then
        Response.Write("<HR> The path to the requested file cannot be mapped.<HR>")
        fFileError = TRUE
    End If
End If
				

Účel ViewCode.asp & související ukázkové MSDN

Účelem ViewCode.asp je zobrazit kód, který umožňuje pracovat weby ukázkové vývojář webového obsahu.
Pokud základní obsah na ukázkové servery odebrat tlačítka (odkazy) načíst kód do ViewCode.asp jej zobrazit.

O instalaci vzorků & dokumentace na serverech výrobní

Většina uživatelů Site Server neinstalujte ukázkové weby na provozních serverech, stejně jako neinstalujte v dokumentaci. Nejsou obvykle potřeba na provozních serverech jako použít další místo na disku a kvůli fakt, že jsou pouze ukázky, jejich nemusí být zabezpečené podle potřeby v provozním prostředí.

Pokud je nutné zahrnout ukázky na provozní server, zvažte však omezení přístupu k nim vývojáři pouze.

Další odkazy

Naleznete další informace týkající se tohoto problému následující odkaz:
Další týkající se zabezpečení informace o produktech společnosti Microsoft navštivte http://www.microsoft.com/security.

Vlastnosti

ID článku: 231656 - Poslední aktualizace: 13. února 2014 - Revize: 2.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Site Server 3.0 Standard Edition
Klíčová slova: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbqfe KB231656 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:231656

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com