Virtuelles Verzeichnis gibt serverseitigen Skriptcode zurück

Artikel-ID: 249599 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D42192
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
249599
(http://support.microsoft.com/kb/249599/EN-US/ )
Virtual Directory Mapped to UNC Returns Server-Side Script Code
Alles erweitern | Alles schließen

Problembeschreibung

Wenn ein virtuelles Verzeichnis auf einem Internet Information Server (IIS)-Computer einer Universal Naming Convention (UNC)-Freigabe zugeordnet wird, und eine Anforderung für eine Datei in dem Verzeichnis enthält am Ende der Anforderung eines von mehreren Sonderzeichen, findet die erwartete Verarbeitung der Internet Server Application Programming Interface (ISAPI)-Erweiterung möglicherweise nicht statt. Dies kann dazu führen, dass der Quellcode der Datei an den Browser gesendet wird.
Zum Anfang | Ihr Feedback an uns

Ursache

Dieses Problem kann durch die Verwendung unterschiedlicher Kombinationen von Sonderzeichen am Ende der Clientanforderung verursacht werden.
Zum Anfang | Ihr Feedback an uns

Lösung

Windows 2000
Eine unterstützte Berichtigung zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Diese Berichtigung ist jedoch noch nicht vollständig regressionsgeprüft und sollte daher nur bei Systemen angewendet werden, bei denen dieses spezielle Problem auftritt. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft, auf das nächste Windows 2000-Service Pack zu warten, das diese Berichtigung enthält.

Um dieses Problem sofort zu beheben, laden Sie die Berichtigung wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Software Service, um die Berichtigung anzufordern. Eine vollständige Liste mit Telefonnummern des Microsoft Software Service finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/default.aspx?scid=fh;DE;PHONENUMBERS
Die folgende Datei kann vom Microsoft Download Center heruntergeladen werden. Gehen Sie dazu auf die nachfolgende Web-Seite und klicken Sie auf Q249599_W2K_SP1_X86_DE.EXE.
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=19986
Für weitere Informationen zum Herunterladen von Dateien vom Microsoft Download Center besuchen Sie bitte das Download Center unter der folgenden Webadresse
   http://www.microsoft.com/germany/download
und klicken Sie anschließend auf "Hilfe zur Verwendung des Download Centers und Feedback zu fehlenden Downloads" (HOW TO USE THE MICROSOFT DOWNLOAD CENTER).
Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.

Windows NT 4.0
Eine unterstützte Berichtigung zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Diese Berichtigung ist jedoch noch nicht vollständig regressionsgeprüft und sollte daher nur bei Systemen angewendet werden, bei denen dieses spezielle Problem auftritt. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft, auf das nächste Windows NT 4.0-Service Pack zu warten, das diese Berichtigung enthält.

Um dieses Problem sofort zu beheben, laden Sie die Berichtigung wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Software Service, um die Berichtigung anzufordern. Eine vollständige Liste mit Telefonnummern des Microsoft Software Service finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/default.aspx?scid=fh;DE;PHONENUMBERS
Die folgenden Dateien können vom Microsoft Download Center heruntergeladen werden. Geben Sie dazu auf die nachfolgenden Links in Ihren Webbrowser ein um die Dateien herunter zu laden.
   X86: http://download.microsoft.com/download/iis40/Patch/4.2.736.1/NT4ALPHA/DE/Uncsec4i.exe
   Alpha: http://download.microsoft.com/download/iis40/Patch/4.2.736.1/NT4ALPHA/DE/Uncsec4a.exe
Hinweis: Die Debug Symbol Dateien werden von einem Administrator benötigt, der sowohl Kernel- als auch einen Usermodis testet. Diese werden beötigt um eine Methode zur Verfügung zu stellen, globale Variablen und Funktions-Namen in geladenen ausführbaren Dateien aufzulösen. Geben Sie einen der nachfolgenden Links ein, um die für Ihr System passende Datei herunter zu laden.
   X86 Symbole: http://download.microsoft.com/download/iis40/Patch/4.2.736.1/NT4ALPHA/DE/Uncsec4is.exe
   Alpha Symbole: http://download.microsoft.com/download/iis40/Patch/4.2.736.1/NT4ALPHA/DE/Uncsec4as.exe
Für weitere Informationen zum Herunterladen von Dateien vom Microsoft Download Center besuchen Sie bitte das Download Center unter der folgenden Webadresse
   http://www.microsoft.com/germany/download
und klicken Sie anschließend auf "Hilfe zur Verwendung des Download Centers und Feedback zu fehlenden Downloads" (HOW TO USE THE MICROSOFT DOWNLOAD CENTER).
Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an der Datei verhindert werden.
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass es sich dabei um ein Problem bei den Microsoft-Produkten handelt, die zu Beginn dieses Artikels aufgeführt sind.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Es existieren erhebliche Einschränkungen, die es zusätzlich erschweren, diese Anfälligkeit auszunutzen:
  • Virtuelle Verzeichnisse verstecken konstruktionsbedingt den tatsächlichen Speicherort von Dateien. Unter den meisten Umständen besteht keine Möglichkeit für einen Angreifer, herauszufinden, welche Dateien auf einem Server sich tatsächlich auf einer UNC-Freigabe befinden.
  • Viele Browser "korrigieren" Anforderungen, die die hier angesprochenen angehängten Zeichen enthalten, indem sie die Zeichen entfernen oder ändern.
  • Wenn die empfohlenen Sicherheitsvorkehrungen eingehalten werden, enthalten ASP und andere Dateien, die serverseitig verarbeitet werden müssen, keine sensiblen Informationen, die durch Angreifer gefährdet sind.
Diese Berichtigung eliminiert die Anfälligkeit, indem die angehängten Sonderzeichen, wenn sie in der Anforderung enthalten sind, entfernt werden. Dies führt dazu, dass die entsprechende Skripting-Engine die Datei verarbeitet, wenn die Anforderung an den Browser zurückgegeben wird. Wenn die Anforderung nicht korrekt formatiert ist, wird sie zurückgewiesen und anschließend als ungültige Anforderung an den Client zurückgegeben.

Mit diesem Problem zusammenhängende Informationen finden Sie auf der folgenden Microsoft-Website:
   http://www.microsoft.com/technet/security/bulletin/ms00-019.asp
Weitere sicherheitsrelevante Informationen zu Microsoft-Produkten finden Sie auf der folgenden Microsoft-Website:
   http://www.microsoft.com/germany/security/
Für weitere Informationen zum gleichzeitigen Installieren von Windows 2000 und Windows 2000-Hot-Fixes lesen Sie bitte den folgenden Artikel in der Microsoft Knowledge Base:
D42122
(http://support.microsoft.com/kb/D42122/DE/ )
Installation von Microsoft Windows 2000 und Windows 2000-Hotfixes

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 249599 - Geändert am: Freitag, 7. April 2006 - Version: 3.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Keywords: 
kbqfe kbhotfixserver kbdownload kbdownload kbwin2000presp1fix KB249599
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang

SPRACHE AUSWÄHLEN