CORRIGER : Blocs ISA 2006 publiées les demandes de site Web pour les URL contenant des sauts de ligne (LF) ou des retours chariot (CR)

Traductions disponibles Traductions disponibles
Numéro d'article: 2622172 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations qui vous montre comment aider les paramètres de sécurité faibles ou la désactivation des fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d'apporter ces modifications, nous vous recommandons d'évaluer les risques associés à la mise en oeuvre de cette procédure dans votre environnement particulier. Si vous implémentez cette procédure, prendre toutes les mesures appropriées pour protéger l'ordinateur.
Agrandir tout | Réduire tout

Symptômes

Considérez le scénario suivant :
  • Vous publiez une page Web via Microsoft Internet Security and Acceleration (ISA) Server 2006 en utilisant l'authentification par formulaires.
  • Pour accéder à cette page Web en utilisant une URL qui contient un retour de chariot avec séquence d'échappement ("%0D") ou un saut de ligne ("%0A") dans l'URL.

Dans ce scénario, ISA Server 2006 bloque l'accès à l'URL. En outre, les journaux du Proxy Web ISA affichent un code de résultat de 12232 pour la demande refusée.

Remarque N'oubliez pas que ce code de résultat peut également être enregistré en raison d'autres problèmes et que l'URL est consigné devrait être révisés pour %0A ou d % 0 caractères pour déterminer si c'est le problème que vous avez rencontré.

Cause

Ce problème se produit car le filtre d'authentification Forms bloquant connus cross-site scripting et les attaques connexes. Dans ce cas, le filtre bloque les attaques qui incluent des retours chariot ou des sauts de ligne de fractionnement de réponse. Toutefois, des URL valides peuvent également inclure ces caractères. Par exemple, l'application IBM Rational Clearquest est connue pour utiliser des retours chariot ou des sauts de ligne dans son URL.

Résolution

Pour résoudre ce problème, installez le package correctif cumulatif de ISA Server 2006 est décrite dans l'article suivant de la Base de connaissances Microsoft :
2616326 Description du package de correctifs ISA Server 2006 : septembre 2011

Plus d'informations

Avertissement Cette procédure peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que les virus. Nous ne recommandons pas cette procédure, mais que vous fournissez ces informations afin que vous pouvez implémenter cette procédure à votre convenance. Utilisez cette procédure à vos propres risques.

Le script suivant va désactiver le comportement par défaut dans le Service Pack 1 de ISA Server 2006 et activer le serveur ISA autoriser les URL qui contiennent des retours chariot (CR) ou des sauts de ligne (LF) dans l'adresse URL. Pour utiliser ce script, procédez comme suit.

ImportantRemarque La désactivation de ce comportement par défaut de ISA Server 2006 SP1 (afin de tenir compte de telles applications) peut permettre à ISA Server pour permettre les URL ont été spécialement pour les attaques « cross-site contrefaçon de requête » lorsque ISA Server utilise l'authentification Form.
  1. Démarrez le bloc-notes.
  2. Collez le script suivant dans un nouveau document.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. Sur le Fichier menu, cliquez sur Enregistrer en tant que, puis enregistrez le fichier en tant que AllowNewlineInURL.vbs.
  4. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript AllowNewlineInURL.vbs
Pour rétablir le comportement par défaut dans ISA Server 2006 Service Pack 1 pour bloquer les URL peuvent contenir les attaques de type cross-site request contrefaçon lorsque vous utilisez l'authentification Form, procédez comme suit :
  1. Démarrez le bloc-notes et ouvrez le script AllowNewlineInURL.vbs.
  2. Recherchez la ligne de code suivante dans le script.
    Const SE_VPS_VALUE = true
    
  3. Modifiez le code pour la ligne suivante :
    Const SE_VPS_VALUE = false
    
  4. Sur le Fichier menu, cliquez sur Enregistrer.
  5. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    cscript AllowNewlineInURL.vbs

Statut

Microsoft a confirmé qu'il s'agit d'un problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Références

Pour plus d'informations sur la terminologie de mise à jour de logiciel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 de la Description de la terminologie standard utilisée pour décrire les mises à jour du logiciel Microsoft

Propriétés

Numéro d'article: 2622172 - Dernière mise à jour: jeudi 6 octobre 2011 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 sur le système suivant
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Mots-clés : 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 2622172
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com