FIX ISA 2006 ブロックの web サイトの要求のキャリッジ リターン (CR) や改行 (LF) を含む Url を公開

文書翻訳 文書翻訳
文書番号: 2622172
重要です この資料でには、セキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法について説明する情報が含まれます。特定の問題を回避するには、これらの変更を確認することができます。これらの変更を行う前に、特定の環境では、この手順の実装に関連付けられているリスクを評価することをお勧めします。この手順を実装する場合、コンピューターを保護するために、適切な追加手順がかかります。
すべて展開する | すべて折りたたむ

現象

次のシナリオを検討してください。
  • Web ページを Microsoft インターネット セキュリティとアクセラレータ (ISA) Server 2006 を公開するには、フォーム ベース認証を使用しています。
  • この web ページは、エスケープされた改行 (「%0 D」) または URL に改行文字 ("%0a") を含む URL を使用してアクセスします。

このシナリオでは、ISA Server 2006 は、URL へのアクセスをブロックします。さらに、ISA の Web Proxy ログ 12232、拒否された要求の結果コードが表示されます。

メモ その他の問題のためこの結果コードも記録でき、URL をログに記録されますを確認する必要がありますに注意してください。 %0a または %0 d これは、発生した問題かどうかを確認する文字を指定します。

原因

この問題は、フォーム ベース認証フィルターは、既知のクロスサイト スクリプティングと同類の攻撃をブロックするために発生します。この例では、フィルターの応答は、キャリッジ リターンまたはライン フィードにも攻撃を分割がブロックされています。ただし、有効な Url はこれらの文字も含めることができます。たとえば、IBM Rational Clearquest がキャリッジ リターンまたはライン フィードでその Url を使用すると呼ばれます。

解決方法

この問題を解決するには、以下のサポート技術情報の資料に記載されている、ISA Server 2006 の修正プログラム ロールアップ パッケージをインストールします。
2616326 ISA Server 2006 の修正プログラム パッケージの説明: 2011年 9 月

詳細

警告 この手順は、コンピューターまたはネットワークの脆弱性を悪意のあるユーザーやウイルスなどの悪意のあるソフトウェアによる攻撃をことがあります。この手順はお勧めしませんが、独自の裁量でこの手順を実装するにはこの情報が提供されます。ご自身の責任でこの手順を使用します。

次のスクリプトは、ISA Server 2006 Service Pack 1 での既定の動作を無効にされ、キャリッジ リターン (CR) や改行 (LF) の URL アドレスが含まれている Url を許可するように ISA Server を有効にするされます。このスクリプトを使用するには、次の手順を実行します。

重要ですメモ ISA Server 2006 SP1 の既定の動作 (このようなアプリケーションに対応するために) を無効にすることも可能性があります ISA サーバーがフォーム ベースの認証を使用する場合は、「サイト間でリクエスト フォージェリ」攻撃に特別な細工が Url を許可するように、ISA Server が可能です。
  1. メモ帳を起動します。
  2. 次のスクリプトは、新しい文書に貼り付けます。
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. で、 ファイル メニューをクリックして として保存します。をクリックし、ファイルとして保存 AllowNewlineInURL.vbs.
  4. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    cscript AllowNewlineInURL.vbs
既定の動作では、ISA Server 2006 Service Pack [フォーム ベース認証を使用すると、クロスサイト リクエスト偽造攻撃が含まれている可能性がある Url を禁止するのには 1 に戻るには、次の手順を実行します。
  1. メモ帳を起動し、AllowNewlineInURL.vbs スクリプトを開きます。
  2. スクリプトに次のコード行を見つけます。
    Const SE_VPS_VALUE = true
    
  3. コードは次の行を変更します。
    Const SE_VPS_VALUE = false
    
  4. で、 ファイル メニューをクリックして 保存.
  5. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    cscript AllowNewlineInURL.vbs

状況

Microsoft は、これは「対象」に記載されているマイクロソフト製品の問題であること確認しています。

関連情報

ソフトウェアの更新の用語の詳細については、「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
824684 マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語の説明

プロパティ

文書番号: 2622172 - 最終更新日: 2011年10月6日 - リビジョン: 2.0
キーワード:?
kbfix kbqfe kbhotfixrollup kbexpertiseadvanced kbhotfixserver kbmt kbsurveynew KB2622172 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2622172
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com