FIX: ISA 2006 blok diterbitkan situs permintaan untuk URL yang mencakup tombol kembali (CR) atau linefeeds (LF)

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2622172 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan pengaturan keamanan atau mematikan fitur keamanan pada komputer. Anda dapat membuat perubahan untuk mengatasi masalah khusus. Sebelum Anda membuat perubahan ini, kami anjurkan agar Anda mengevaluasi risiko yang berhubungan dengan menerapkan prosedur ini di lingkungan tertentu Anda. Jika Anda menerapkan prosedur ini, Ambil langkah tambahan yang tepat untuk membantu melindungi komputer.
Perbesar semua | Perkecil semua

GEJALA

Pertimbangkan skenario berikut ini:
  • Anda mempublikasikan halaman web melalui Microsoft Internet Security and Acceleration (ISA) Server 2006 dengan menggunakan otentikasi berbasis bentuk.
  • Anda mengakses halaman web ini dengan menggunakan URL yang berisi melarikan diri karakter carriage return ("% 0 D") atau linefeed ("% 0A") di URL.

Dalam skenario ini, ISA Server 2006 memblokir akses ke URL. Selain itu, log ISA Web Proxy menunjukkan hasil kode 12232 untuk permintaan ditolak.

Catatan Perlu diketahui bahwa kode hasil ini dapat juga tercatat karena isu-isu lain dan bahwa URL yang dimasukkan akan harus ditinjau untuk % 0a atau d % 0 karakter untuk menentukan apakah masalah yang Anda alami.

PENYEBAB

Masalah ini terjadi karena filter otentikasi berbasis bentuk blok dikenal cross-site scripting dan serangan terkait. Dalam kasus ini, filter yang menghalangi respon yang membelah serangan yang juga mencakup tombol kembali atau linefeeds. Namun, URL berlaku juga dapat termasuk karakter ini. Sebagai contoh, IBM rasional Clearquest aplikasi dikenal untuk menggunakan tombol kembali atau linefeeds di URL yang.

PEMECAHAN MASALAH

Untuk mengatasi masalah ini, instal ISA Server 2006 paket rollup hotfix yang dijelaskan di artikel Basis Pengetahuan Microsoft berikut:
2616326 Keterangan tentang paket hotfix ISA Server 2006: September 2011

INFORMASI LEBIH LANJUT

Warning Prosedur ini dapat membuat komputer atau jaringan menjadi lebih rentan untuk menyerang oleh pengguna jahat atau oleh perangkat lunak berbahaya seperti virus. Kami tidak merekomendasikan prosedur ini tetapi menyediakan informasi ini sehingga Anda dapat menerapkan prosedur ini kebijaksanaan Anda sendiri. Menggunakan prosedur ini risiko Anda sendiri.

Script berikut akan menonaktifkan perilaku default di ISA Server 2006 Service Pack 1 dan mengaktifkan ISA Server untuk memungkinkan URL yang berisi tombol kembali (CR) atau linefeeds (LF) di alamat URL. Untuk menggunakan script ini, ikuti langkah berikut.

PentingCatatan Menonaktifkan perilaku default ini ISA Server 2006 SP1 (dalam rangka untuk mengakomodasi aplikasi seperti) dapat juga memungkinkan ISA Server untuk berpotensi memungkinkan URL yang telah telah secara khusus dibuat untuk "cross-site permintaan pemalsuan" serangan ketika ISA Server menggunakan otentikasi berbasis bentuk.
  1. Mulai Notepad.
  2. Menyisipkan script berikut ke dalam dokumen baru.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. Pada Berkas menu, klik Simpan sebagai, kemudian simpan berkas sebagai AllowNewlineInURL.vbs.
  4. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan Enter:
    Cscript AllowNewlineInURL.vbs
Untuk kembali ke perilaku default di ISA Server 2006 Service Pack 1 untuk memblokir URL yang mungkin mengandung cross-site permintaan pemalsuan serangan ketika Anda menggunakan otentikasi berbasis bentuk, ikuti langkah berikut:
  1. Jalankan Notepad, dan kemudian buka AllowNewlineInURL.vbs script.
  2. Cari baris kode berikut dalam naskah.
    Const SE_VPS_VALUE = true
    
  3. Mengubah kode untuk baris berikut:
    Const SE_VPS_VALUE = false
    
  4. Pada Berkas menu, klik Simpan.
  5. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan Enter:
    Cscript AllowNewlineInURL.vbs

STATUS

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

REFERENSI

Untuk informasi selengkapnya tentang terminologi pemutakhiran perangkat lunak, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
824684 Deskripsi tentang terminologi standar yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft

Properti

ID Artikel: 2622172 - Kajian Terakhir: 06 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, ketika digunakan dengan:
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Kata kunci: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:2622172

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com