ΕΠΙΔΙΌΡΘΩΣΗ: Παραλληλόγραμμα ISA 2006 δημοσιεύεται τοποθεσία αιτήσεις για διευθύνσεις URL που περιέχουν χαρακτήρες επαναφοράς (CR) ή αλλαγές γραμμής (LF)

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2622172 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνει τον τρόπο μείωσης των ρυθμίσεων ασφαλείας ή για να απενεργοποιήσετε τις δυνατότητες ασφαλείας σε έναν υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να αντιμετωπίσετε ένα συγκεκριμένο πρόβλημα. Πριν να κάνετε αυτές τις αλλαγές, συνιστάται να εκτιμήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτής της διαδικασίας στο συγκεκριμένο περιβάλλον. Εάν εφαρμόσετε αυτήν τη διαδικασία, λαμβάνουν τα κατάλληλα πρόσθετα μέτρα για την προστασία του υπολογιστή σας.
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Εξετάστε το ακόλουθο σενάριο:
  • Μπορείτε να δημοσιεύσετε μια ιστοσελίδα μέσω του Microsoft Internet Security and Acceleration (ISA) Server 2006 χρησιμοποιώντας έλεγχο ταυτότητας που βασίζεται σε φόρμες.
  • Πρόσβαση σε αυτήν την ιστοσελίδα, χρησιμοποιώντας μια διεύθυνση URL που περιέχει ένα κώδικας χαρακτήρα επαναφοράς ("% 0 D") ή αλλαγής γραμμής ("% 0A") στη διεύθυνση URL.

Σε αυτό το σενάριο, ISA Server 2006 εμποδίζει την πρόσβαση στο URL. Επιπλέον, τα αρχεία καταγραφής του διακομιστή μεσολάβησης Web του ISA εμφανίζει έναν κωδικό αποτελέσματος της 12232 για το αίτημα απορρίφθηκε.

ΣΗΜΕΙΩΣΗ Να θυμάστε ότι αυτός ο κωδικός αποτελέσματος επίσης μπορεί να συνδεθεί εξαιτίας των άλλων θεμάτων και που θα έπρεπε να επανεξεταστεί για το URL στο οποίο είναι συνδεδεμένος % 0a ή d % 0 χαρακτήρες για να εξακριβώσετε αν αυτό είναι το θέμα που αντιμετωπίσατε.

Αιτία

Αυτό το ζήτημα παρουσιάζεται επειδή το φίλτρο ταυτότητας φορμών αποκλείει γνωστά δεσμών ενεργειών μεταξύ τοποθεσιών και επιθέσεις σχετικά. Στην περίπτωση αυτή, το φίλτρο αποκλείει απόκριση διαίρεση επιθέσεις που περιλαμβάνουν χαρακτήρες επαναφοράς ή αλλαγές γραμμής. Ωστόσο, έγκυρες διευθύνσεις URL μπορεί επίσης να περιλαμβάνει αυτούς τους χαρακτήρες. Για παράδειγμα, η εφαρμογή ορθολογική IBM Clearquest είναι γνωστό ότι χρησιμοποιούν επαναφορών ή αλλαγές γραμμής, τις διευθύνσεις URL.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, εγκαταστήστε το πακέτο συλλογής επειγουσών επιδιορθώσεων του ISA Server 2006 που περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
2616326 Περιγραφή του πακέτου επειγουσών επιδιορθώσεων του ISA Server 2006: Σεπτεμβρίου 2011

Περισσότερες πληροφορίες

Προειδοποίηση Αυτή η διαδικασία μπορεί να έναν υπολογιστή ή ένα δίκτυο πιο ευάλωτα σε επιθέσεις από κακόβουλους χρήστες ή επιβλαβές λογισμικό, όπως οι ιοί. Εμείς δεν συνιστάται αυτή η διαδικασία, αλλά οι σχετικές πληροφορίες, ώστε να μπορείτε να εφαρμόσετε τη διαδικασία αυτή, κατά τη διακριτική σας ευχέρεια. Χρησιμοποιήστε αυτήν τη διαδικασία με δική σας ευθύνη.

Η ακόλουθη δέσμη ενεργειών θα απενεργοποιήσει την προεπιλεγμένη συμπεριφορά του ISA Server 2006 Service Pack 1 και να ενεργοποιήσετε το ISA Server για να επιτρέψετε τις διευθύνσεις URL που περιέχουν χαρακτήρες επαναφοράς (CR) ή αλλαγές γραμμής (LF) στη διεύθυνση URL. Για να χρησιμοποιήσετε αυτήν τη δέσμη ενεργειών, ακολουθήστε τα εξής βήματα.

ΣημαντικόΣΗΜΕΙΩΣΗ Απενεργοποιώντας αυτήν την προεπιλεγμένη συμπεριφορά του ISA Server 2006 SP1 (προκειμένου να χωρέσει τέτοιων εφαρμογών) θα μπορούσε να επιτρέψει επίσης ISA Server με δυνητικά να επιτρέψει τις διευθύνσεις URL που έχουν έχουν ειδικά για επιθέσεις "διατοποθεσιακή πλαστογράφησης αίτησης" όταν ο ISA Server χρησιμοποιεί έλεγχο ταυτότητας βάσει της φόρμας.
  1. Ξεκινήστε το Σημειωματάριο (Notepad).
  2. Επικολλήστε την ακόλουθη δέσμη ενεργειών σε ένα νέο έγγραφο.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. Σχετικά με την Αρχείο μενού, κάντε κλικ στο κουμπί Αποθήκευση ως, και στη συνέχεια αποθηκεύστε το αρχείο ως AllowNewlineInURL.vbs.
  4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο Enter:
    Cscript AllowNewlineInURL.vbs
Για να επαναφέρετε την προεπιλεγμένη συμπεριφορά του ISA Server 2006 Service Pack 1 για τον αποκλεισμό των διευθύνσεων URL που ενδέχεται να περιέχουν επιθέσεις πλαστογράφησης διατοποθεσιακή αίτηση, όταν χρησιμοποιείτε έλεγχο ταυτότητας βάσει φόρμας, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε το Σημειωματάριο (Notepad) και στη συνέχεια, ανοίξτε τη δέσμη ενεργειών AllowNewlineInURL.vbs.
  2. Εντοπίστε την ακόλουθη γραμμή κώδικα στη δέσμη ενεργειών.
    Const SE_VPS_VALUE = true
    
  3. Μπορείτε να αλλάξετε τον κωδικό με την ακόλουθη γραμμή:
    Const SE_VPS_VALUE = false
    
  4. Σχετικά με την Αρχείο μενού, κάντε κλικ στο κουμπί Αποθήκευση.
  5. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο Enter:
    Cscript AllowNewlineInURL.vbs

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα σχετικά με προϊόντα της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".

Αναφορές

Για περισσότερες πληροφορίες σχετικά με την ορολογία ενημερωμένων εκδόσεων λογισμικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
824684 Περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft

Ιδιότητες

Αναγν. άρθρου: 2622172 - Τελευταία αναθεώρηση: Πέμπτη, 6 Οκτωβρίου 2011 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Λέξεις-κλειδιά: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:2622172

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com