MS11-051: Sicherheitsrisiko in Webregistrierung für Active Directory-Zertifikatdienste kann Rechteerweiterungen ermöglichen: 14. Juni 2011

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2518295 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Microsoft hat das Sicherheitsbulletin MS11-051 veröffentlicht. Das vollständige Sicherheitsbulletin finden Sie auf den folgenden Microsoft-Websites:

Hilfe und Support zum Sicherheitsupdate

Privatanwender in den USA und Kanada erhalten kostenlosen Support über die Hotline-Nummer 1-866-PCSAFETY
(auf dieser Seite finden Sie die Telefonnummern der örtlichen Niederlassungen)
oder über die örtliche Microsoft-Niederlassung. Weitere Informationen zur Kontaktaufnahme mit der zuständigen Microsoft-Niederlassung bei Problemen mit Sicherheitsupdates finden Sie auf der internationalen Supportwebsite von Microsoft:
http://support.microsoft.com/common/international.aspx?ln=de&rdpath=4
Kunden in Nordamerika können über die folgende Website von Microsoft auch direkten Zugriff auf unbegrenzten kostenfreien E-Mail-Support oder unbegrenzten Einzelsupport per Chat erhalten:
https://support.microsoft.com/oas/default.aspx?ln=de&prid=7552&st=1&wfxredirect=1&sd=gn
Unternehmenskunden können bei Problemen mit Sicherheitsupdates ihre üblichen Supportkontakte nutzen.

Weitere Informationen

Bekannte Probleme bei diesem Sicherheitsupdate

Nach der Installation dieses Sicherheitsupdates treten möglicherweise folgende Probleme auf:
  • Die Zeichen des Doppelbyte-Zeichensatzes (Double-Byte Character, DBCS) des Zertifikatnamens werden auf der Webseite "Status ausstehender Zertifikatanforderungen anzeigen" auf der Registrierungssite für eine Zertifizierungsstelle nicht ordnungsgemäß angezeigt.

    Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
    • Installieren Sie in Windows 2008 R2 den Hotfix 2637070. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      2637070 Die DBCS-Zeichen eines Zertifikatnamens werden nicht ordnungsgemäß angezeigt, wenn KB 2518295 auf Windows Server 2008 R2 installiert ist (Dies ist möglicherweise nur in Englisch verfügbar)
    • Auf Windows 2003- und Windows 2008-Plattformen müssen Sie die Datei "certckpn.asp" bearbeiten. Die Datei "certckpn.asp" befindet sich im folgenden Ordner:
      %systemroot%\System32\certsrv\<sprachspezifischer Ordner>\
      • Ändern Sie Folgendes:
        sFieldFriendlyType = Server.HTMLEncode(Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'"))
        In Folgendes:
        sFieldFriendlyType = Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'")
      • Ändern Sie Folgendes:
        <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></Span>
        In Folgendes:
        <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></Span>
      • Ändern Sie Folgendes:
        <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></A>
        In Folgendes:
        <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></A>
  • Wenn Sie versuchen, ein Zertifikat anzufordern, kann eine Fehlermeldung etwa folgenden Inhalts angezeigt werden:

    Fehler beim Verarbeiten der URL auf dem Server. Wenden Sie sich an den Systemadministrator.


    Das Problem tritt auf, nachdem Sie die Anforderung unter Verwendung der ASP-Seiten für die Webregistrierung eingereicht haben, wenn Folgendes zutrifft:
    • In der Vorlage ist "Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle" festgelegt.
    • Der Wert Puffer aktivieren ist in IIS auf Falsch gesetzt.
    • Die Rolle "Webregistrierung" ist aktiviert.
    Um dieses Problem zu beheben, müssen Sie die Datei "certrspn.asp" bearbeiten. Die Datei "certrspn.asp" befindet sich im folgenden Ordner:
    %systemroot%\System32\certsrv\<sprachspezifischer Ordner>\
    Nehmen Sie in einem Texteditor die folgenden Änderungen vor, und speichern Sie die Datei "certrspn.asp" anschließend:
    • Ändern Sie Folgendes:
      <!-- Windows-Sicherheitsupdate KB2518295 hat einige der ASP-Dateien der Webregistrierung der Zertifizierungsstelle ersetzt -->
      In Folgendes:
      <%' Windows-Sicherheitsupdate KB2518295 hat einige der ASP-Dateien der Webregistrierung der Zertifizierungsstelle ersetzt %>
    • Ändern Sie Folgendes:
      <!-- Den Sicherungspeicherort der vorherigen ASP-Dateien finden Sie unter http://www.support.microsoft.com/kb/2518295 -->
      In Folgendes:
      <%' Den Sicherungspeicherort der vorherigen ASP-Dateien finden Sie unter http://www.support.microsoft.com/kb/2518295 %>
  • Es besteht ein bekanntes Problem für Kunden mit benutzerdefinierten ASP-Seiten für die Webregistrierung. Bei der Aktivierung einer Zertifizierungsstellenrolle in Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 werden ASP-Beispielseiten für die Webregistrierung im Zertifikatserverordner (unter %windir%\system32\Certsrv) gespeichert. Kunden haben diese Seiten möglicherweise bearbeitet und an ihre Bedürfnisse angepasst.

    Das in MS11-051 beschriebene Sicherheitsupdate behebt ein Cross-Site Scripting-Sicherheitsrisiko auf diesen Seiten. Durch Installation des Sicherheitsupdates werden die vorhandenen ASP-Seiten durch sichere Seiten ersetzt.

    Microsoft empfiehlt Kunden, vor der Installation des Sicherheitsupdates eine Sicherheitskopie der angepassten ASP-Seiten zu erstellen, um den möglichen Verlust von Daten zu verhindern. Nach der Installation des Sicherheitsupdates sollten die Anpassungen mit den sicheren ASP-Seiten zusammengeführt werden.

    Warnung: Wenn Sie die Korrektur dieses Sicherheitsrisikos unbeabsichtigt entfernen, werden Sie möglicherweise anfällig für Cross-Site Scripting-Angriffe. Wenn Sie diese Seiten ändern, kann Microsoft keine Garantie für die Sicherheit des Systems übernehmen.

    Wenn Kunden vor der Installation des Sicherheitsupdates keine Sicherheitskopie ihrer angepassten Seiten erstellen, werden die ursprünglichen Seiten automatisch von der Windows Update-Installationssoftware gesichert. Die Speicherorte der Sicherung variieren je nach Plattform, Architektur und Service Pack-Nummer. Den genauen Speicherort können Sie der folgenden Tabelle entnehmen.

    Warnung: Wenn Sie in einem dieser Verzeichnisse Dateien entfernen oder fehlerhaft ändern, kann dies zu schwerwiegenden Problemen führen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass sich Probleme beheben lassen, die durch das Ändern oder Entfernen von Dateien aus diesen Bereichen des Betriebssystems entstehen.
    Tabelle minimierenTabelle vergrößern
    ProduktSpeicherort für Sicherungen angepasster Webregistrierungsseiten
    Windows Server 2008 R2%windir%/winsxs/Architektur_microsoft-windows-webenroll.resources_31bf3856ad364e35_Version_Sprach-SKU_Hash

    Wobei
    • Architektur für "x86" (bei einer x86-Architektur) oder "amd64" steht,
    • Version für "6.1.7600.16385" (endgültige Produktedition von Windows Server 2008 R2) bzw. "6.1.7601.17514" (Windows Server 2008 R2 SP1) steht,
    • die Sprach-SKU von Sprache zu Sprache variiert, z. B.: "en-us" für Englisch, "de-de" für Deutsch und "ja-jp" für Japanisch,
    • Hash der 48-Bit-Hash ist, der je nach Plattform, Architektur, Service Pack und Sprache variiert.
    Windows Server 2008%windir%/winsxs/Architektur_microsoft-windows-webenroll.resources_31bf3856ad364e35_Version_Sprach-SKU_Hash

    Wobei
    • Architektur für "x86" (bei einer x86-Architektur) oder "amd64" steht,
    • Version für "6.0.6001.18000" (wenn SP1 installiert ist) oder "6.0.6002.18005" (wenn "SP2" installiert ist) steht,
    • die Sprach-SKU von Sprache zu Sprache variiert, z. B.: "en-us" für Englisch, "de-de" für Deutsch und "ja-jp" für Japanisch,
    • Hash der 48-Bit-Hash ist, der je nach Plattform, Architektur, Service Pack und Sprache variiert.
    Windows Server 2003Versteckter Ordner %windir%/$NtUninstallKB2518295$
    Windows Server 2000Versteckter Ordner %windir%/$NtUninstallKB2518295$
    Windows NT4 ServerVersteckter Ordner %windir%/$NtUninstallKB2518295$

DATEIINFORMATIONEN

Eine Liste der in diesem Paketen bereitgestellter Dateien finden Sie unter folgendem Link:
Dateiattributtabellen für Sicherheitsupdate 2518295.csv
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 2518295 - Geändert am: Donnerstag, 22. Dezember 2011 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Service Pack 1, wenn verwendet mit:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, wenn verwendet mit:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, wenn verwendet mit:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Keywords: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2518295
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com