MS11-051: Chyba zabezpe�en� webov� ��dosti o certifik�t slu�by AD CS (Active Directory Certificate Services) by mohla umo�nit zv��en� opr�vn�n�: 14. �ervna 2011

Spole�nost Microsoft vydala bulletin zabezpe�en� MS11-051. Chcete-li zobrazit cel� bulletin zabezpe�en�, nav�tivte jeden z n�sleduj�c�ch web� spole�nosti Microsoft:

• Dom�c� u�ivatel�:
  http://www.microsoft.com/security/pc-security/bulletins/201106.aspx

  (http://www.microsoft.com/security/pc-security/bulletins/201106.aspx)
  P�esko�it podrobnosti: Sta�en� aktualizac� pro dom�c� po��ta� nebo p�enosn� po��ta� z webu Microsoft Update:
  http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=cs

  (http://www.update.microsoft.com/microsoftupdate/)
• Odborn�ci v oblasti IT:
  http://www.microsoft.com/technet/security/bulletin/MS11-051.mspx

  (http://www.microsoft.com/technet/security/bulletin/MS11-051.mspx)

Pomoc a podpora pro tuto aktualizaci zabezpe�en�

Pro dom�c� u�ivatele je k dispozici bezplatn� podpora na ��sle 1-866-PCSAFETY ve Spojen�ch st�tech a v Kanad� , nebo se mohou obr�tit na m�stn� pobo�ku spole�nosti Microsoft. Informace o tom, jak kontaktovat m�stn� pobo�ku spole�nosti Microsoft ohledn� podpory aktualizace zabezpe�en�, naleznete na n�sleduj�c�m webu mezin�rodn� podpory: Z�kazn�ci v Severn� Americe mohou tak� na n�sleduj�c�m webu spole�nosti Microsoft z�skat neomezenou bezplatnou podporu e-mailem nebo neomezenou individu�ln� podporu formou chatu: Pro podnikov� z�kazn�ky je podpora pro aktualizace zabezpe�en� k dispozici prost�ednictv�m standardn�ch kontakt� podpory.

Zn�m� probl�my s touto aktualizac� zabezpe�en�

Po instalaci t�to aktualizace zabezpe�en� m��e doj�t k n�sleduj�c�m probl�m�m:

• Znaky dvoubajtov� znakov� sady (DBCS) v n�zvu certifik�tu na str�nce Zobrazit stav ��dosti o certifik�t �ekaj�c� na vy��zen� na webu z�pisu certifika�n� autority (CA) se nezobraz� spr�vn�.
  
  �e�en� t�chto pot��:
  • V syst�mu Windows 2008 R2 nainstalujte opravu hotfix 2637070 . Dal�� informace naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base:
    2637070

    (http://support.microsoft.com/kb/2637070/ )

    Znaky dvoubajtov� znakov� sady (DBCS) v n�zvu certifik�tu se nezobraz� spr�vn�, je-li v syst�mu Windows Server 2008 R2 nainstalov�na aktualizace KB 2518295 (Tento text m��e b�t v angli�tin�)
  • U platforem Win2003 a Win2008 je t�eba upravit soubor certckpn.asp. Soubor certckpn.asp je um�st�n v n�sleduj�c� slo�ce:
    %systemroot%\System32\certsrv\<slo�ka_pro_konkr�tn�_jazyk>\
    • Zm��te text:
      sFieldFriendlyType = Server.HTMLEncode(Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'"))
      Na n�sleduj�c� text:
      sFieldFriendlyType = Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'")
    • Zm��te text:
      <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></Span>
      Na n�sleduj�c� text:
      <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></Span>
    • Zm��te text:
      <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></A>
      Na n�sleduj�c� text:
      <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></A>
• P�i pokusu o vy��d�n� certifik�tu se m��e zobrazit chybov� zpr�va podobn� n�sleduj�c�:
  
  
  P�i zpracov�n� adresy URL do�lo na serveru k chyb�. Obra�te se na spr�vce syst�mu.
  
  
  K t�mto pot��m dojde po odesl�n� ��dosti prost�ednictv�m str�nek ASP webov�ho z�pisu, jsou-li spln�ny n�sleduj�c� podm�nky:
  • V �ablon� je aktivov�no nastaven� Schv�len� spr�vce certifik�t� certifika�n� autority.
  • Hodnota Povolit ukl�d�n� do vyrovn�vac� pam�ti je ve slu�b� IIS nastavena na hodnotu False.
  • Je povolena role webov�ho z�pisu.
  Chcete-li tento probl�m vy�e�it, je t�eba upravit soubor certrspn.asp. Soubor certrspn.asp je um�st�n v�n�sleduj�c� slo�ce:
  %systemroot%\System32\certsrv\<slo�ka_pro_konkr�tn�_jazyk>\
  Prove�te pomoc� textov�ho editoru n�sleduj�c� zm�ny a pak soubor certrspn.asp ulo�te:
  • Zm��te text:
    <!-- Windows Security Update, KB2518295 has replaced some of the CA Web Enrollment ASP files -->
    Na n�sleduj�c� text:
    <%� Windows Security Update, KB2518295 has replaced some of the CA Web Enrollment ASP files %>
  • Zm��te text:
    <!-- Please see http://www.support.microsoft.com/kb/2518295 for the back-up location of the previous ASP files -->
    Na n�sleduj�c� text:
    <%� Please see http://www.support.microsoft.com/kb/2518295 for the back-up location of the previous ASP files %>
• Existuje zn�m� probl�m v p��pad� z�kazn�k� s vlastn�mi str�nkami ASP pro webov� z�pis. Je-li v syst�mu Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 povolena role certifika�n� autority (CA), jsou uk�zkov� str�nky ASP pro webov� z�pis um�st�ny do slo�ky Certificate Server (v adres��i %windir%\system32\Certsrv). Je mo�n�, �e z�kazn�ci tyto str�nky upravili tak, aby vyhovovaly jejich po�adavk�m.
  
  Aktualizace zabezpe�en� popsan� v bulletinu MS11-051
  (http://technet.microsoft.com/en-us/security/bulletin/ms11-051)
  �e�� chybu zabezpe�en� skriptov�n� mezi weby pro tyto str�nky. Je-li tato aktualizace zabezpe�en� nainstalovan�, budou st�vaj�c� str�nky ASP nahrazeny zabezpe�en�mi str�nkami.
  
  Spole�nost Microsoft doporu�uje z�kazn�k�m, aby p�ed instalac� t�to aktualizace zabezpe�en� vytvo�ili z�lohu upraven�ch str�nek ASP a vyhnuli se tak potenci�ln� ztr�t� dat. Jakmile dokon��te instalaci t�to aktualizace zabezpe�en�, z�kazn�ci by m�li slou�it vlastn� nastaven� se zabezpe�en�mi str�nkami ASP.
  
  Upozorn�n�: ne�mysln� odebr�n� opravy t�to chyby zabezpe�en� by mohlo zp�sobit ohro�en� �toky skriptov�n� mezi weby. Pokud tyto str�nky zm�n�te, spole�nost Microsoft nezaru�uje zabezpe�en� syst�mu.
  
  Pro z�kazn�ky, kte�� si p�ed instalac� t�to aktualizace zabezpe�en� nevytvo�ili z�lohu vlastn�ch str�nek, jsou p�vodn� str�nky z�lohov�ny automaticky prost�ednictv�m instala�n�ho softwaru slu�by Windows Update. Um�st�n� z�lohy se li�� v z�vislosti na platform�, architektu�e a �rovni aktualizace Service Pack. P�esn� um�st�n� jsou uvedena v n�sleduj�c� tabulce.
  
  Upozorn�n�: Pokud v libovoln�m z t�chto adres��� nespr�vn� zm�n�te nebo odeberete soubory, m��ete zp�sobit v�n� probl�my, kter� mohou vy�adovat p�einstalaci opera�n�ho syst�mu. Spole�nost Microsoft nezaru�uje, �e je mo�n� vy�e�it pot�e, k nim� do�lo v d�sledku zm�ny nebo odebr�n� soubor� obsa�en�ch v t�chto ��stech opera�n�ho syst�mu.
  Zmen�it tuto tabulkuRoz���it tuto tabulku

  Produkt	Um�st�n�, v n�m� jsou z�lohov�ny vlastn� str�nky pro webov� z�pis
  Windows Server 2008 R2	%windir%/winsxs/architektura_microsoft-windows-webenroll.resources_31bf3856ad364e35_verze_skladov� polo�ka jazyka_hash kde architektura je x86 v p��pad� architektury x86, v ostatn�ch p��padech amd64. verze je 6.1.7600.16385 pro edici vyd�n� syst�mu Windows Server 2008 R2 a 6.1.7601.17514 pro edici vyd�n� syst�mu Windows Server 2008 R2 SP1. skladov� polo�ka jazyka z�vis� na jazyku. P��klad: en-us pro angli�tinu, de-de pro n�m�inu a ja-jp pro japon�tinu. hash je 48bitov� algoritmus hash, kter� z�vis� na platform�, architektu�e, aktualizaci Service Pack a jazyku.
  Windows Server 2008�	%windir%/winsxs/architektura_microsoft-windows-webenroll.resources_31bf3856ad364e35_verze_skladov� polo�ka jazyka_hash kde architektura je x86 v p��pad� architektury x86, v ostatn�ch p��padech amd64. verze je 6.0.6001.18000, je-li nainstalov�na aktualizace SP1, a 6.0.6002.18005, je-li nainstalov�na aktualizace SP2. skladov� polo�ka jazyka z�vis� na jazyku. P��klad: en-us pro angli�tinu, de-de pro n�m�inu a ja-jp pro japon�tinu. hash je 48bitov� algoritmus hash, kter� z�vis� na platform�, architektu�e, aktualizaci Service Pack a jazyku.
  Windows Server 2003�	Skryt� slo�ka %windir%/$NtUninstallKB2518295$
  Windows Server 2000�	Skryt� slo�ka %windir%/$NtUninstallKB2518295$
  Windows NT4 Server	Skryt� slo�ka %windir%/$NtUninstallKB2518295$

Seznam soubor�, kter� jsou poskytov�ny v r�mci t�chto bal��k�, zobraz�te kliknut�m na n�sleduj�c� odkaz: