Oprava: ISA 2006 bloky publikované požadavky webu pro adresy URL, které zahrnují návraty (CR) nebo přečtené (LF)

ID článku: 2622172 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Důležité Tento článek obsahuje informace, které ukazuje, jak k oslabení zabezpečení nebo vypnutí funkcí zabezpečení v počítači. Tyto změny vedou k řešení určitého problému. Před provedením těchto změn doporučujeme vyhodnotit rizika, které jsou přidruženy k provedení tohoto postupu v konkrétním prostředí. Pokud se rozhodnete tento postup, přijmout dodatečná opatření k ochraně počítače.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Zvažte následující scénář:
  • Publikujete webovou stránku prostřednictvím aplikace Microsoft Internet Security and Acceleration (ISA) Server 2006 pomocí ověřování na základě formulářů.
  • Máte přístup k této webové stránce pomocí adresy URL obsahující ukončený znakem konce řádku ("% 0 D") nebo konce řádku ("% 0A") v adrese URL.

V tomto scénáři ISA Server 2006 blokuje přístup na adresu URL. Protokoly ISA Web Proxy navíc zobrazit kód výsledku 12232 odepření žádosti.

Poznámka: Uvědomte si, že tento kód výsledku může být také zaznamenána z jiných důvodů a musel být přezkoumána pro adresu URL, která je zaznamenána % 0a Nebo d % 0 znaky k určení, zda se jedná o problém, ke kterým jste se setkali.
Zpět nahoru | Dejte nám zpětnou vazbu

Příčina

Tomuto problému dochází, protože ověřování na základě formulářů filtr blokuje známé skriptování a související útoky. V tomto případě filtr blokuje odpověď rozdělení útoků, které také patří konce nebo přečtené. Platné adresy URL však mohou obsahovat tyto znaky. Například aplikace IBM Rational Clearquest známa použít konce nebo přečtené své adresy URL.
Zpět nahoru | Dejte nám zpětnou vazbu

Řešení

Chcete-li tento problém vyřešit, nainstalujte balíček opravy hotfix kumulativní ISA Server 2006, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
2616326
(http://support.microsoft.com/kb/2616326/ )
Popis balíčku opravy hotfix produktu ISA Server 2006: září 2011
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Upozornění Tento postup mohou provádět v počítači nebo síti zranitelnější vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Tento postup nedoporučujeme, ale poskytujeme tyto informace tak, že tento postup je možné implementovat vlastního uvážení. Tento postup lze používáte na vlastní nebezpečí.

Následující skript bude zakázat výchozí chování v aktualizaci Service Pack 1 pro ISA Server 2006 a povolit serveru ISA Server umožníte adresy URL obsahující konce (CR) nebo přečtené (LF) v adrese URL. Chcete-li tento skript použít, postupujte takto.

DůležitéPoznámka: Zákaz toto výchozí chování ISA Server 2006 SP1 (za účelem zohlednění těchto žádostí) nelze povolit také ISA Server potenciálně umožnit adresy URL, které jste byla speciálně pro útoky "cross-site požadavek padělání" ISA Server používá ověřování pomocí formulářů.
  1. Spusťte program Poznámkový blok.
  2. Vložte následující skript do nového dokumentu.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "AllowNewlineInURL"
Const SE_VPS_VALUE = true
 
Sub SetValue()
 
    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
 
    'Declare the other objects needed.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object
 
    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
 
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
 
    If Err.Number <> 0 Then
        Err.Clear
 
        ' Add the item
        Set VendorSet = VendorSets.Add( SE_VPS_GUID )
       CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name
 
    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
    End If
 
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
 
        Err.Clear
        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
 
        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError
 
            If Err.Number = 0 Then
                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
            End If
        End If
    Else
        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
 
End Sub
 
Sub CheckError()
 
    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If
 
End Sub
 
SetValue
  3. V Soubor nabídky, klepněte na tlačítko Uložit jakoa poté uložte soubor jako AllowNewlineInURL.vbs.
  4. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
    cscript AllowNewlineInURL.vbs
Chcete-li se vrátit k výchozímu chování ISA Server 2006 Service Pack 1 pro blokování adres URL, které mohou obsahovat více webů požadavek padělání útoky, při použití ověřování na základě formulářů, postupujte takto:
  1. Spusťte program Poznámkový blok a poté otevřete skript AllowNewlineInURL.vbs.
  2. Vyhledejte následující řádek kódu ve skriptu.
    Const SE_VPS_VALUE = true
  3. Změňte kód na následující řádek:
    Const SE_VPS_VALUE = false
  4. V Soubor nabídky, klepněte na tlačítko Uložit.
  5. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
    cscript AllowNewlineInURL.vbs
Zpět nahoru | Dejte nám zpětnou vazbu

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Informace v tomto článku jsou určeny pro produkt".
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Další informace o terminologii aktualizace softwaru získáte v článku znalostní báze Microsoft Knowledge Base:
824684
(http://support.microsoft.com/kb/824684/ )
Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 2622172 - Poslední aktualizace: 6. října 2011 - Revize: 2.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 na těchto platformách
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Klíčová slova: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:2622172
(http://support.microsoft.com/kb/2622172/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru