MS00-084 : Mise à jour disponibles pour l'indexation de vulnérabilité du service

Traductions disponibles Traductions disponibles
Numéro d'article: 278499 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Microsoft a publié une mise à jour disponible qui corrige une vulnérabilité de sécurité potentiels qui porte sur le composant Webhits (Webhits.dll) des services Windows 2000 et l'indexation de Windows NT 4.0. La vulnérabilité résulte d'une fonction dans le service d'indexation permet aux utilisateurs de spécifier un code HTML de remplacement à être utilisée pour surligner le texte de la requête d'une correspondance. La fonction permet aux utilisateurs de passer de HTML brut en tant que paramètre dans un fichier .htw. Ce code HTML n'est pas l'objet d'une séquence d'échappement ou numérisé en aucune façon. Par conséquent, les utilisateurs peuvent envoyer puis des scripts incorporés dans le code HTML. Cette vulnérabilité est appelée cross-Site Scripting (CSS). Pour plus d'informations sur CSS, consultez la section «Plus d'informations» de cet article.

Remarque : le service d'indexation est livré et installé avec Windows 2000 mais n'est pas activé par défaut. Utilisateurs qui exécutent les serveurs web sur Windows 2000 qui ont activé les services d'indexation sont vivement conseillés d'appliquer ce correctif. Le service indexation pour Windows NT 4.0 est fourni avec NT Option Pack et n'est pas installés ou activés par défaut.

Résolution

Windows 2000

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260910Comment faire pour obtenir le dernier Service Pack de Windows 2000
The English-language version of this fix should have the following 
file attributes or later:

   Date       Time             Size     File name     Platform
   -----------------------------------------------------------
   10/31/2000 11:08am          42,768   Webhits.dll   i386

				

L'indexation Server 2.0

Les fichiers suivants sont disponibles au téléchargement à partir du centre de téléchargement Microsoft :
Toutes les langues sauf le japonais [NEC] et le chinois - Hong Kong
Réduire cette imageAgrandir cette image
Download
Download the 278499 package now.
Japonais NEC
Réduire cette imageAgrandir cette image
Download
Download the 278499 package now.
Chinois - Hong Kong
Réduire cette imageAgrandir cette image
Download
Download the 278499 package now.
Date de publication: 9 avril 2003

Pour plus d'informations sur la façon de télécharger des fichiers de support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
119591Procédure pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier pour les virus. Microsoft utilisé les logiciels de détection de virus les plus récentes ne sont associé à la date à laquelle le fichier a été validé. Le fichier est stocké sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier. La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. La date et heure de création de ces fichiers est exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est converti en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet fuseau horaire dans l'outil date et heure du Panneau de configuration.
   Date         Time   Version     Size    File name
   ---------------------------------------------------
   25-Feb-2003  06:53  5.0.1782.5  42,256  Webhits.dll

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés au début de cet article. Ce problème a été corrigé dans Windows 2000 Service Pack 2.

Plus d'informations

Pour plus d'informations sur cette vulnérabilité et le correctif, veuillez consulter les sites Web de Microsoft aux adresses suivantes :
http://www.microsoft.com/technet/security/bulletin/fq00-084.mspx
http://www.microsoft.com/technet/security/bulletin/MS00-084.mspx
Le 20 février 2000, Microsoft et le centre de coordination CERT (Computer Emergency Response Team) informations publiées sur une sécurité qui vient d'être identifié une vulnérabilité affectés à tous les produits de serveur Web. Cette vulnérabilité, connue en tant que cross-Site Scripting (CSS), résulte lorsque les programmes Web n'est pas valide correctement les entrées avant de les utiliser dans des pages Web dynamiques. Si un opérateur de site Web malveillant parvenait à persuader un utilisateur à son site et a identifié un site Web de tiers qui était vulnérable aux CSS, l'opérateur de site Web mal intentionné pourrait utiliser potentiellement la vulnérabilité pour "injecter" un script dans une page Web qui a été créée par l'autre site Web, qui est ensuite remis à l'utilisateur. L'effet de ce serait de provoquer le script de l'utilisateur malveillant à exécuter sur l'ordinateur de l'utilisateur à l'aide de l'approbation à partir de l'autre site.

La vulnérabilité peut affecter tout logiciel qui s'exécute sur un serveur Web, accepte l'entrée d'utilisateur et «aveuglément» l'utilise pour générer des pages Web. Microsoft a identifié un composant dans les services Windows 2000 et l'indexation de Windows NT 4.0 qui est vulnérable à ce scénario et publie un bulletin et correctif pour résoudre le problème.

Propriétés

Numéro d'article: 278499 - Dernière mise à jour: lundi 24 février 2014 - Version: 4.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
Mots-clés : 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbenv kbfix kbwin2000presp2fix KB278499 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 278499
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com