REVISIÓN: Bloques de ISA 2006 publican las solicitudes de página Web para direcciones URL que incluyen los retornos de carro (CR) o saltos de línea (LF)

Seleccione idioma Seleccione idioma
Id. de artículo: 2622172 - Ver los productos a los que se aplica este artículo
Importante Este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, recomendamos que evalúe los riesgos asocian a este procedimiento en su entorno concreto. Si decide implementar este procedimiento, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Expandir todo | Contraer todo

Síntomas

Tenga en cuenta la situación siguiente:
  • Publicar una página Web mediante Microsoft Internet Security and Acceleration (ISA) Server 2006 mediante la autenticación basada en formularios.
  • Para tener acceso a esta página Web mediante una dirección URL que contiene un retorno de carro de escape ("% 0 D") o un salto de línea ("% 0A") en la dirección URL.

En este escenario, ISA Server 2006 bloquea el acceso a la dirección URL. Además, los registros de Proxy Web de ISA muestran un código de resultado de 12232 para la solicitud denegada.

Nota Tenga en cuenta que este código de resultado también se puede registrar debido a otros problemas y que la dirección URL que ha iniciado sesión tendría que revisar para % 0a o d. % 0 caracteres para determinar si éste es el problema que experimenta.

Causa

Este problema se produce porque el filtro de autenticación basada en formularios bloquea conocidos cross-site scripting y ataques similares. En este caso, el filtro está bloqueando los ataques que también incluyen retornos de carro o saltos de línea de división de respuesta. Sin embargo, las direcciones URL válidas también pueden incluir estos caracteres. Por ejemplo, la aplicación de IBM Rational Clearquest sabe utilizar retornos de carro o saltos de línea en sus direcciones URL.

Solución

Para resolver este problema, instale el paquete acumulativo de revisiones de ISA Server 2006 que se describe en el siguiente artículo de Microsoft Knowledge Base:
2616326 Descripción del paquete de revisiones de ISA Server 2006: septiembre de 2011

Más información

Advertencia Este procedimiento puede hacer un equipo o una red sean más vulnerables a los ataques por usuarios malintencionados o de software malintencionado, como los virus. No se recomienda este procedimiento, pero proporcionamos esta información para que este procedimiento se puede implementar su propia discreción. Utilice este procedimiento bajo su responsabilidad.

La siguiente secuencia de comandos se deshabilita el comportamiento predeterminado en el Service Pack 1 de ISA Server 2006 y habilitar el servidor ISA permitir que las direcciones URL que contienen retornos de carro (CR) o saltos de línea (LF) en la dirección URL. Para utilizar esta secuencia de comandos, siga estos pasos.

ImportanteNota Deshabilitar este comportamiento predeterminado de ISA Server 2006 SP1 (para dar cabida a estas aplicaciones) también podría permitir a ISA Server para permitir las direcciones URL que han sido especialmente para los ataques de "cross-site falsificación de solicitud" cuando el servidor ISA utiliza autenticación basada en formularios.
  1. Inicie el Bloc de notas.
  2. Pegue la siguiente secuencia de comandos en un documento nuevo.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. En el Archivo menú, haga clic en Guardar comoy, a continuación, guarde el archivo como AllowNewlineInURL.vbs.
  4. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript AllowNewlineInURL.vbs
Para volver al comportamiento predeterminado en el Service Pack 1 de ISA Server 2006 para bloquear direcciones URL que pueden contener los ataques de falsificación de solicitud entre sitios cuando se utiliza la autenticación basada en formularios, siga estos pasos:
  1. Inicie el Bloc de notas y, a continuación, abra la secuencia de comandos de AllowNewlineInURL.vbs.
  2. Busque la siguiente línea de código en la secuencia de comandos.
    Const SE_VPS_VALUE = true
    
  3. Cambie el código para la línea siguiente:
    Const SE_VPS_VALUE = false
    
  4. En el Archivo menú, haga clic en Guardar.
  5. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    cscript AllowNewlineInURL.vbs

Estado

Microsoft ha confirmado que se trata de un problema en los productos de Microsoft enumerados en la sección "Se refiere a:".

Referencias

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 2622172 - Última revisión: jueves, 06 de octubre de 2011 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Palabras clave: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2622172

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com