로그인

Select the product you need help with

사이트 간 스크립팅 문제에 관한 IIS 5.0 수정 프로그램

기술 자료: 275657 - 이 문서가 적용되는 제품 보기.

더 이상 지원되지 않는 제품의 KB 내용에 대한 고지 사항

이 문서는 이전에 다음 ID로 출판되었음: KR275657

모두 확대 | 모두 축소

현상

Microsoft는 악의 있는 사용자가 타사 웹 사이트를 통해 다른 사용자의 컴퓨터에서 코드를 실행하는 등의 보안 문제를 확인했습니다. 이러한 코드를 통해 타사 웹 사이트에서 해당 사용자의 컴퓨터에 대해 실행할 수 있는 모든 작업을 수행할 수 있습니다. 또한 코드가 계속해서 실행되게 만들어 사용자가 웹 사이트에 다시 돌아 올 경우 코드가 다시 실행되게 할 수 있습니다.

이는 사용자가 HTML 전자 메일이나 악의 있는 사용자의 웹 사이트에 있는 하이퍼텍스트 링크를 누를 경우에만 문제가 됩니다. 기존 세션에 코드를 넣을 수는 없습니다.

위로 가기 | 피드백 보내기

원인

Internet Information Services 5.0에서 제공하는 일부 웹 서비스는 사용 전 모든 입력 내용의 유효성을 제대로 검사하지 않으므로 사이트 간의 스크립팅(CSS)의 영향을 받기 쉽습니다.

위로 가기 | 피드백 보내기

해결 방법

2000년 11월 2일에 Microsoft는 새로운 유형의 이러한 보안 문제를 수정하기 위해 업데이트된 패치를 출시했습니다. 최신 패치를 구하는 방법에 대한 내용은 다음을 참조하십시오.

현재 이 문제를 해결하기 위한 수정 프로그램을 Microsoft에서 구할 수 있지만 아직 테스트가 완료되지 않았으므로 이 특정한 문제가 발생하는 시스템에만 적용해야 합니다. 이 특정한 문제의 영향이 심각하지 않으면 이 수정 프로그램이 포함된 다음 Windows 2000 서비스 팩이 나올 때까지 기다리는 것이 좋습니다.

이 문제를 즉시 해결하려면 아래에서 설명하는 대로 수정 프로그램을 다운로드하거나 Microsoft 기술 지원 서비스에 문의하여 수정 프로그램을 구하십시오. Microsoft 기술 지원 서비스 전화 번호의 전체 목록과 기술 지원 비용에 대한 정보는 다음 웹 사이트를 참조하십시오.

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/kb/http://support.microsoft.com/contactus/?ws=support/HU/ )

Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다. 다운로드하려면 아래 파일 이름을 누르십시오.
한국어 버전을 다운로드하려면 Language를 Korean으로 선택하십시오.

Q275657_W2K_SP2_x86_en.exe

(http://www.microsoft.com/downloads/release.asp?ReleaseID=25533)

Microsoft 다운로드 센터에서 파일을 다운로드하는 방법을 자세히 알려면 아래의 다운로드 센터를 방문하십시오.

http://www.microsoft.com/downloads/Search.aspx?LangID=14&LangDIR=KO

(http://support.microsoft.com/kb/http://www.microsoft.com/downloads/Search.aspx?LangID=14&LangDIR=KO/HU/ )

그런 다음 Microsoft 다운로드 센터 이용 방법을 누릅니다. 이 수정 프로그램의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다.

   날짜        시간         버전          크기    파일 이름
   --------------------------------------------------------
   08/26/2000  06:30p                   6,512  Fixerr.js
   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll
   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll
   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll
   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll

Internet Information Server(IIS) 4.0에서 이 문제를 해결하는 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

260347

(http://support.microsoft.com/kb/260347/KO/ )

IIS 4: 사이트 간 스크립팅 문제에 대한 수정 프로그램

위로 가기 | 피드백 보내기

현재 상태

Microsoft는 Internet Information Services 5.0에서 이 문제를 확인했습니다.

위로 가기 | 피드백 보내기

추가 정보

이 보안 문제에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

http://www.microsoft.com/technet/security/bulletin/ms00-060.mspx

(http://www.microsoft.com/technet/security/bulletin/ms00-060.mspx)

CSS는 최근에 발견된 보안 문제로서, 이를 통해 악의 있는 사용자가 다른 사용자의 웹 사이트 세션에 코드를 넣을 수 있습니다. 다른 대부분의 보안 문제와 달리 CSS는 한 공급업체의 제품이 아닌 웹 서버에서 실행되는 모든 소프트웨어에 영향을 주며 프로그래밍 보안 관례를 따르지 않습니다. 2000년 초반에 Microsoft와 CERT는 소프트웨어 업계에 이 문제를 알리고 이에 대한 업계의 대응을 이끌어 내는 데 협력하였습니다.

Microsoft는 개발자가 코드에 잠재적 보안 문제가 있는지 검사하는 방법 등의 CSS에 대한 폭넓은 정보를 발표했습니다. 또한 IIS에서 검사가 제대로 실행되지 않는 부분을 확인했습니다. 이 중 일부는 내부 보안 팀에 의해, 다른 부분은 고객에 의해 확인되었습니다.
CSS에 대한 자세한 내용은 다음 웹 사이트의 질문과 대답(FAQ)를 참조하십시오.

http://www.microsoft.com/technet/security/crsstFAQ.asp

(http://www.microsoft.com/technet/security/crsstFAQ.asp)

위로 가기 | 피드백 보내기