ИСПРАВИТЬ: Блоки ISA 2006 запросы на веб-узел для публикации URL-адреса, содержащие символы возврата каретки (CR) или символов перевода строки (LF)

Переводы статьи Переводы статьи
Код статьи: 2622172 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Данная статья содержит сведения, которые помогут более низкие параметры безопасности либо отключить функции безопасности на компьютере. Эти изменения для устранения определенной проблемы. Перед тем как вносить эти изменения, рекомендуется оценить риски, связанные с применением этой процедуры в конкретной среде. При реализации этой процедуры примите любые дополнительные меры для защиты компьютера.
Развернуть все | Свернуть все

Проблема

Рассмотрим следующий сценарий:
  • Публикация веб-страницы через Microsoft Internet Security and Acceleration (ISA) Server 2006 с помощью проверки подлинности на основе форм.
  • Доступ к этой веб-странице с помощью URL-адрес, содержащий escape-каретки ("% 0 D") или перевода строки ("% 0A») в URL-адрес.

В этом случае ISA Server 2006 блокирует доступ к URL-адрес. Кроме того в журналах веб-прокси ISA Показать результирующий код 12232 для запрещенного запроса.

Примечание Имейте в виду, что этот код результата может быть зарегистрировано из-за других проблем и URL-адрес, который вошел бы рассматриваться на предмет % 0a -или- d % 0 символы, чтобы определить, является ли это проблему, которая возникла.

Причина

Эта проблема возникает, так как фильтр проверки подлинности на основе форм блокирует известные межузловых сценариев и связанных атак. В этом случае фильтр блокирует атаки, которые также включают возвраты каретки и перевод строки с разделением ответа. Тем не менее допустимым URL-адреса можно также включить эти символы. Например приложение IBM Rational Clearquest известен использовать символы возврата каретки и перевод строки в его URL-адреса.

Решение

Для решения этой проблемы установите накопительный пакет исправлений ISA Server 2006, описанное в следующей статье Microsoft Knowledge Base:
2616326 Описание пакета исправлений для ISA Server 2006: Сентябрь 2011

Дополнительная информация

Предупреждение Эта процедура может сделать компьютер или сеть более уязвим для атак злоумышленников и проникновения потенциально опасных программ, например вирусов. Корпорация Майкрософт не рекомендует использовать эту процедуру, но в таким образом, можно реализовать эту процедуру на свой собственный риск. Используйте эту процедуру на ваш собственный риск.

Следующий сценарий будет отключен по умолчанию в ISA Server 2006 с пакетом обновления (1) и включить ISA Server для разрешения адреса URL, содержащие символы возврата каретки (CR) или символов перевода строки (LF) в URL-адрес. Чтобы использовать этот сценарий, выполните следующие действия.

ВажныеПримечание Отключить это поведение по умолчанию ISA Server 2006 с пакетом обновления 1 (для размещения таких приложений) также позволяет ISA-серверу, потенциально может разрешить URL-адреса, которые были специально для «атаки межузловой подделки запроса» атак межузловых при ISA Server использует проверку подлинности на основе форм.
  1. Запустите программу «Блокнот».
  2. Вставьте следующий сценарий в новый документ.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. На Файл меню, нажмите кнопку Сохранить как, а затем сохраните файл как AllowNewlineInURL.vbs.
  4. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    Cscript AllowNewlineInURL.vbs
Чтобы вернуться к поведению по умолчанию в ISA Server 2006 с пакетом обновления 1 блокировать URL-адресов, которые могут содержать подделку атаки межузловых запросов при использовании проверки подлинности на основе форм, выполните следующие действия.
  1. Запустите программу «Блокнот» и откройте сценарий AllowNewlineInURL.vbs.
  2. Найдите следующую строку кода в сценарий.
    Const SE_VPS_VALUE = true
    
  3. Измените код следующим:
    Const SE_VPS_VALUE = false
    
  4. На Файл меню, нажмите кнопку Сохранить.
  5. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    Cscript AllowNewlineInURL.vbs

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Относится к».

Ссылки

Для получения дополнительных сведений о терминологии, обновления программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 2622172 - Последний отзыв: 6 октября 2011 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 на следующих платформах
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Ключевые слова: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:2622172

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com