Oprava: ISA 2006 bloky publikované požadavky webu pro adresy URL, které zahrnují návraty (CR) nebo přečtené (LF)

Překlady článku Překlady článku
ID článku: 2622172 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace, které ukazuje, jak k oslabení zabezpečení nebo vypnutí funkcí zabezpečení v počítači. Tyto změny vedou k řešení určitého problému. Před provedením těchto změn doporučujeme vyhodnotit rizika, které jsou přidruženy k provedení tohoto postupu v konkrétním prostředí. Pokud se rozhodnete tento postup, přijmout dodatečná opatření k ochraně počítače.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Zvažte následující scénář:
  • Publikujete webovou stránku prostřednictvím aplikace Microsoft Internet Security and Acceleration (ISA) Server 2006 pomocí ověřování na základě formulářů.
  • Máte přístup k této webové stránce pomocí adresy URL obsahující ukončený znakem konce řádku ("% 0 D") nebo konce řádku ("% 0A") v adrese URL.

V tomto scénáři ISA Server 2006 blokuje přístup na adresu URL. Protokoly ISA Web Proxy navíc zobrazit kód výsledku 12232 odepření žádosti.

Poznámka: Uvědomte si, že tento kód výsledku může být také zaznamenána z jiných důvodů a musel být přezkoumána pro adresu URL, která je zaznamenána % 0a Nebo d % 0 znaky k určení, zda se jedná o problém, ke kterým jste se setkali.

Příčina

Tomuto problému dochází, protože ověřování na základě formulářů filtr blokuje známé skriptování a související útoky. V tomto případě filtr blokuje odpověď rozdělení útoků, které také patří konce nebo přečtené. Platné adresy URL však mohou obsahovat tyto znaky. Například aplikace IBM Rational Clearquest známa použít konce nebo přečtené své adresy URL.

Řešení

Chcete-li tento problém vyřešit, nainstalujte balíček opravy hotfix kumulativní ISA Server 2006, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
2616326 Popis balíčku opravy hotfix produktu ISA Server 2006: září 2011

Další informace

Upozornění Tento postup mohou provádět v počítači nebo síti zranitelnější vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Tento postup nedoporučujeme, ale poskytujeme tyto informace tak, že tento postup je možné implementovat vlastního uvážení. Tento postup lze používáte na vlastní nebezpečí.

Následující skript bude zakázat výchozí chování v aktualizaci Service Pack 1 pro ISA Server 2006 a povolit serveru ISA Server umožníte adresy URL obsahující konce (CR) nebo přečtené (LF) v adrese URL. Chcete-li tento skript použít, postupujte takto.

DůležitéPoznámka: Zákaz toto výchozí chování ISA Server 2006 SP1 (za účelem zohlednění těchto žádostí) nelze povolit také ISA Server potenciálně umožnit adresy URL, které jste byla speciálně pro útoky "cross-site požadavek padělání" ISA Server používá ověřování pomocí formulářů.
  1. Spusťte program Poznámkový blok.
  2. Vložte následující skript do nového dokumentu.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. V Soubor nabídky, klepněte na tlačítko Uložit jakoa poté uložte soubor jako AllowNewlineInURL.vbs.
  4. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
    cscript AllowNewlineInURL.vbs
Chcete-li se vrátit k výchozímu chování ISA Server 2006 Service Pack 1 pro blokování adres URL, které mohou obsahovat více webů požadavek padělání útoky, při použití ověřování na základě formulářů, postupujte takto:
  1. Spusťte program Poznámkový blok a poté otevřete skript AllowNewlineInURL.vbs.
  2. Vyhledejte následující řádek kódu ve skriptu.
    Const SE_VPS_VALUE = true
    
  3. Změňte kód na následující řádek:
    Const SE_VPS_VALUE = false
    
  4. V Soubor nabídky, klepněte na tlačítko Uložit.
  5. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
    cscript AllowNewlineInURL.vbs

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Informace v tomto článku jsou určeny pro produkt".

Odkazy

Další informace o terminologii aktualizace softwaru získáte v článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Vlastnosti

ID článku: 2622172 - Poslední aktualizace: 6. října 2011 - Revize: 2.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 na těchto platformách
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Klíčová slova: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:2622172

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com