FIX: ISA 2006 bloky uverejnené webovej stránky žiadostí pre adresy URL, ktoré obsahujú znakmi konca riadka (CR) alebo linefeeds (LF)

Preklady článku Preklady článku
ID článku: 2622172 - Zobraziť produkty, ktorých sa tento článok týka.
Dôležité upozornenie Tento článok obsahuje informácie, že vám ukáže, ako oslabeniu zabezpečenia alebo ako k vypnutiu funkcií zabezpečenia v počítači. Vykonaním týchto zmien môžete vyriešiť špecifické problémy. Pred vykonaním týchto zmien, odporúčame, aby ste zhodnotili riziká, ktoré sú spojené s vykonávaním tohto postupu vo vašom konkrétnom prostredí. Ak sa rozhodnete tento postup, prijať akékoľvek dodatočné opatrenia na ochranu počítača.
Rozbaliť všetko | Zbaliť všetko

PRIZNAKY

Uvažujme o nasledujúcom prípade:
  • Budete publikovať webovú stránku prostredníctvom Microsoft Internet Security a zrýchlenie (ISA) Server 2006 pomocou overovanie na základe formulárov.
  • Máte prístup k tejto webovej stránky pomocou URL, ktorá obsahuje unikol carriage return ("% 0 D") alebo obyčajný ("% 0A") v URL.

V tomto scenári ISA Server 2006 blokuje prístup na URL. Okrem toho ISA Web Proxy denníky zobraziť kód výsledku 12232 pre odmietnutý žiadosť.

Poznámka: Majte na pamäti, že tento výsledok kód môže byť prihlásení otázok, iné a že URL, ktorý je prihlásená by museli prehodnotiť, aby % 0a alebo d % 0 znaky na určenie, či je toto problémom, ktoré ste prežili.

PRICINA

Tento problém sa vyskytuje, pretože overovanie na základe formulárov filter blokuje známy cross-site scripting a súvisiacich útokov. V tomto prípade filter je blokovanie odozvy rozdelenie útokov, ktoré tiež zahŕňajú prepravu vráti alebo linefeeds. Avšak platné adresy URL môžete taktiež zahŕňať tieto znaky. Napríklad IBM Rational Clearquest žiadosti je známe použitie prepravu vráti alebo linefeeds v jeho adresy URL.

RIESENIE

Ak chcete tento problém vyriešiť, nainštalujte na ISA Server 2006 hotfix rollup balík, ktorý je popísaný v nasledovnom článku databázy Microsoft Knowledge Base:
2616326 Popis balík s rýchlou ISA Server 2006: septembra 2011

DALSIE INFORMACIE

Upozornenie Tento postup môže počítača alebo siete voči útokom zlomyseľných používateľov alebo pred škodlivým softvérom, ako sú vírusy. Neodporúčame tento postup však poskytujú tieto informácie tak, že môžete implementovať tento postup vlastného uváženia. Tento postup použite na vlastné riziko.

Nasledujúci skript bude vypnúť predvolené správanie v ISA Server 2006 Service Pack 1 a umožní ISA Server umožniť adresy URL, ktoré obsahujú znakmi konca riadka (CR) alebo linefeeds (LF) v adrese URL. Ak chcete použiť tento skript, postupujte nasledovne.

Dôležité upozorneniePoznámka: Vypnutím tejto predvolené správanie ISA Server 2006 SP1 (s cieľom prispôsobenia týchto žiadostí) by mohli tiež povoliť ISA Server umožniť potenciálne adresy URL, ktoré boli špecificky remeselnícky "cross-site žiadosť falšovaniu" útoky keď ISA Server používa overovanie na základe formulárov.
  1. Spustite program Poznámkový blok.
  2. Prilepte nasledujúci skript do nového dokumentu.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. Na Súbor ponuky, kliknite na tlačidlo Uložiť ako, a potom uložiť súbor ako AllowNewlineInURL.vbs.
  4. Do príkazového riadka zadajte nasledovný príkaz a stlačte kláves Enter:
    cscript AllowNewlineInURL.vbs
Chcete obnoviť predvolené správanie v ISA Server 2006 Service Pack 1 zablokovať adresy URL, ktoré môžu obsahovať cross-site žiadosť falšovaniu útoky, keď používate overovanie na základe formulárov, postupujte nasledovne:
  1. Spustite program Poznámkový blok a potom otvorte AllowNewlineInURL.vbs skriptu.
  2. Vyhľadajte nasledujúci riadok kódu v skripte.
    Const SE_VPS_VALUE = true
    
  3. Zmena kódu na nasledujúci riadok:
    Const SE_VPS_VALUE = false
    
  4. Na Súbor ponuky, kliknite na tlačidlo Uložiť.
  5. Do príkazového riadka zadajte nasledovný príkaz a stlačte kláves Enter:
    cscript AllowNewlineInURL.vbs

STAV

Spoločnosť Microsoft potvrdila, že ide o problém, ktorý sa týka produktov spoločnosti Microsoft uvedených v časti Vzťahuje sa na.

ODKAZY

Ďalšie informácie o terminológii z oblasti aktualizácií softvéru získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
824684 Popis štandardnej terminológie použitej na popis aktualizácií softvéru od spoločnosti Microsoft

Vlastnosti

ID článku: 2622172 - Posledná kontrola: 6. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, pri použití s produktom:
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Kľúčové slová: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:2622172

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com