IIS 5.0 修复跨站点脚本问题

文章翻译 文章翻译
文章编号: 275657 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

症状

Microsoft 已标识一个漏洞,可能会使恶意用户可以通过第三方 Web 站点的另一用户的计算机上运行的代码。此类代码可以采取了允许第三方 Web 站点的用户的计算机上执行任何操作。此外,代码可以被持久,这样如果用户再次返回到网站,开始再次运行该代码。

如果用户单击在 HTML 电子邮件或恶意用户的 Web 站点上超文本链接上,可以只利用此漏洞 ; 不能将代码插入到现有会话。

原因

正确,提供 Internet Information Services 5.0 的某些 Web 服务不会使用它们,并因此是易受攻击来跨站点脚本 (CSS) 之前验证所有输入。

解决方案

若要解决此问题,获得最新的 service pack,对于 Windows XP。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389如何获取最新的 Windows XP 服务包
若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包
2000 年 11 月 2 Microsoft 发布了更新后的修补程序,若要更正此漏洞的新变体。有关如何获取最新的修补程序,请参阅以下有关的信息。

可从 Microsoft 下载中心下载以下文件:
收起这个图片展开这个图片
Download
English Language Version

收起这个图片展开这个图片
Download
Czech Language Version

收起这个图片展开这个图片
Download
Dutch Language Version

收起这个图片展开这个图片
Download
French Language Version

收起这个图片展开这个图片
Download
Hungarian Language Version

收起这个图片展开这个图片
Download
Italian Language Version

收起这个图片展开这个图片
Download
Polish Language Version

收起这个图片展开这个图片
Download
Portuguese (Brazilian) Language Version

收起这个图片展开这个图片
Download
Portuguese Language Version

收起这个图片展开这个图片
Download
Russian Language Version

收起这个图片展开这个图片
Download
Spanish Language Version

收起这个图片展开这个图片
Download
Swedish Language Version

收起这个图片展开这个图片
Download
Turkish Language Version

有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器,这有助于防止未经授权的情况下对其进行更改文件上。 此修复程序的英文版应具有以下文件属性或更高版本:
   Date       Time     Version         Size    File name
   --------------------------------------------------------
   08/26/2000  06:30p                   6,512  Fixerr.js
   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll
   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll
   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll
   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll
				

有关解决此问题在 Internet 信息服务器 (IIS) 4.0 中的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
260347对于跨站点脚本问题的 IIS 4: 修复

状态

Microsoft 已经确认这是 Internet Information Services 5.0 中的问题。在 Microsoft Windows 2000 Service Pack 3 (SP3) 和 Microsoft Windows XP Service Pack 1 (SP1),第一次已得到纠正此问题。

更多信息

有关此安全漏洞的详细信息,请参阅以下 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/ms00-060.mspx
CSS 是可以还有可能使恶意用户可以将代码插入到用户的会话,与网站的新发现的安全漏洞。与大多数的安全漏洞不同 CSS 不能应用于任何单个供应商的产品,但相反,它可能会影响 Web 服务器上运行并不遵循防御性的编程做法的任何软件。在早期的 2000 Microsoft 和 CERT 合作向通知在软件行业的问题,并导致了行业范围内的响应。

Microsoft 发布有关 CSS,包括为开发人员如何检查他们的潜在漏洞的代码有关的信息的大量信息。Microsoft 已标识在其中正确检查,不能执行 ; 其中有些发现我们的内部安全小组和其他由客户所标识的 IIS 中的多个位置。

属性

文章编号: 275657 - 最后修改: 2013年10月21日 - 修订: 4.1
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
关键字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 275657
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com