FIX: Blocchi ISA 2006 pubblicate le richieste del sito Web per gli URL che include i ritorni a capo (CR) o avanzamento riga (LF)

Traduzione articoli Traduzione articoli
Identificativo articolo: 2622172 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni che mostra come per le impostazioni di protezione inferiore o su come disattivare le funzionalità di protezione in un computer. È possibile apportare tali modifiche per risolvere un problema specifico. Prima di apportare tali modifiche, si consiglia di valutare i rischi associati all'implementazione di questa procedura in un ambiente particolare. Se si implementa questa procedura, adottare ogni ulteriore procedura per proteggere il computer.
Espandi tutto | Chiudi tutto

Sintomi

Si consideri il seguente scenario:
  • È possibile pubblicare una pagina Web mediante Microsoft Internet Security and Acceleration (ISA) Server 2006 mediante l'autenticazione basata su form.
  • Viene visualizzata la pagina Web utilizzando un URL che contiene un ritorno di escape ("D 0 %") o un avanzamento riga ("% 0A") nell'URL.

In questo scenario, ISA Server 2006 blocca l'accesso all'URL. Inoltre, i registri Proxy Web ISA mostrano un codice di risultato dell'12232 per la richiesta negata.

Nota Tenere presente che questo codice di risultato può essere registrato a causa di altri problemi e che l'URL utilizzato per l'accesso dovrebbe essere esaminate per % 0a oppure % 0D caratteri per determinare se questo è il problema che si è verificato.

Cause

Questo problema si verifica perché il filtro di autenticazione basata su form consente di bloccare attacchi correlati e conosciuti cross-site scripting. In questo caso, il filtro blocca gli attacchi che includono anche i ritorni a capo o avanzamenti di riga nella suddivisione della risposta. Tuttavia, gli URL validi possono includere anche questi caratteri. Ad esempio, è noto che l'applicazione di IBM Rational Clearquest utilizzare ritorni a capo o avanzamenti di riga nel relativo URL.

Risoluzione

Per risolvere questo problema, installare il pacchetto cumulativo di hotfix di ISA Server 2006 è descritto nell'articolo della Microsoft Knowledge Base riportato di seguito:
2616326 Descrizione del pacchetto hotfix per ISA Server 2006: settembre 2011

Informazioni

Messaggio di avviso Questa procedura potrebbe rendere un computer o una rete più vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi quali i virus. Si sconsiglia di questa procedura, ma queste informazioni vengono fornite in modo che è possibile implementare questa procedura a propria discrezione. Utilizzare questa procedura a proprio rischio.

Lo script seguente disattiva il comportamento predefinito in ISA Server 2006 Service Pack 1 e abilitare il Server ISA consentire gli URL contenenti ritorni a capo (CR) o caratteri di avanzamento riga (LF) nell'indirizzo URL. Per utilizzare questo script, attenersi alla seguente procedura.

ImportanteNota La disattivazione di questo comportamento predefinito di ISA Server 2006 SP1 (in modo da contenere tali applicazioni) potrebbe anche consentire a ISA Server per consentire gli URL che sono stati appositamente per gli attacchi "cross-site request forgery" quando ISA Server utilizza l'autenticazione basata su Form.
  1. Avviare il blocco note.
  2. Incollare il seguente script in un nuovo documento.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. Nel File menu, fare clic su Salva con nome, quindi salvare il file di esempio AllowNewlineInURL.vbs.
  4. Al prompt dei comandi, digitare il comando seguente e quindi premere INVIO:
    cscript AllowNewlineInURL.vbs
Per ripristinare il comportamento predefinito in ISA Server 2006 Service Pack 1 per bloccare gli URL che potrebbero contenere gli attacchi di falsificazione di cross-site richiesta quando si utilizza l'autenticazione basata su Form, attenersi alla seguente procedura:
  1. Avviare il blocco note e aprire lo script AllowNewlineInURL.vbs.
  2. Individuare la seguente riga di codice nello script.
    Const SE_VPS_VALUE = true
    
  3. Modificare il codice per la riga seguente:
    Const SE_VPS_VALUE = false
    
  4. Nel File menu, fare clic su Salva.
  5. Al prompt dei comandi, digitare il comando seguente e quindi premere INVIO:
    cscript AllowNewlineInURL.vbs

Status

Microsoft ha confermato che si tratta di un problema con i prodotti elencati nella sezione "Si applica a".

Riferimenti

Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

Proprietà

Identificativo articolo: 2622172 - Ultima modifica: giovedì 6 ottobre 2011 - Revisione: 2.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 alle seguenti piattaforme
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Chiavi: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2622172
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com