MS00-084:解决索引服务漏洞的更新已推出

文章翻译 文章翻译
文章编号: 278499 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

Microsoft 已发布了一种更新,用于解决与 Windows 2000 和 Windows NT 4.0 索引服务的 Webhits 组件 (Webhits.dll) 相关的潜在安全漏洞。此漏洞是由索引服务中的某个功能导致的,该功能允许用户指定其他 HTML,用来突出显示查询文本的匹配项。使用该功能,用户可以将原始 HTML 作为参数传递给 .htw 文件。此 HTML 不会以任何方式被避开或扫描到。因此,用户就可以提交 HTML 中嵌入的脚本。此漏洞称为跨站点脚本执行 (CSS)。有关 CSS 的更多信息,请参阅本文的“更多信息”一节。

注意:索引服务与 Windows 2000 一起提供并安装,但在默认情况下不启用。如果您在 Windows 2000 上运行 Web 服务器并且已启用索引服务,则强烈建议您应用此修补程序。Windows NT 4.0 的索引服务与 NT Option Pack 一起提供,但不随其一起安装或默认情况下不启用。

解决方案

Windows 2000

要解决此问题,请获取最新的 Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
260910 如何获取最新的 Windows 2000 Service Pack
该修复程序的英文版应具有以下
或更新的文件属性:

日期          时间                大小        文件        平台
-----------------------------------------------------------
10/31/2000 11:08am          42,768   Webhits.dll   i386

				

索引服务器 2.0

从 Microsoft 下载中心可以下载以下文件:
除日语 NEC 和中国香港特别行政区中文以外的所有语言
收起这个图片展开这个图片
下载
立即下载 278499 程序包。
日语 NEC
收起这个图片展开这个图片
下载
立即下载 278499 程序包。
中国香港特别行政区中文
收起这个图片展开这个图片
下载
立即下载 278499 程序包。
发布日期:2003 年 4 月 9 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 此修复程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。若要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。
   日期		时间	版本		大小	文件名
   ---------------------------------------------------
   25-Feb-2003	06:53	5.0.1782.5	42,256	Webhits.dll

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最早在 Windows 2000 Service Pack 2 中得到了解决。

更多信息

有关此漏洞和修补程序的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/fq00-084.asp
http://www.microsoft.com/technet/security/bulletin/ms00-084.asp
Microsoft 和计算机应急反应小组 (CERT) 协调中心于 2000 年 2 月 20 日发布了有关新发现的影响所有 Web 服务器产品的安全漏洞的信息。此漏洞称为跨站点脚本执行 (CSS),会导致 Web 程序在将输入应用到动态 Web 页前无法正确验证输入。如果一个恶意 Web 站点操作员可以引诱用户访问他的站点,并且已经发现另一个第三方 Web 站点存在 CSS 漏洞,则该操作员可能会潜在地利用此漏洞,将脚本“注入”到其他 Web 站点创建的 Web 页中,该页将被传送给用户。从而会造成恶意用户的脚本通过使用其他站点的信任在用户的计算机上运行。

该漏洞影响所有运行在 Web 服务器上,接受用户输入,然后“盲目地”使用它生成 Web 页的所有软件。Microsoft 已经确定 Windows 2000 和 Windows NT 4.0 索引服务中的组件易受此漏洞的攻击,并发布了公告和纠正此问题的修补程序。

属性

文章编号: 278499 - 最后修改: 2014年2月24日 - 修订: 3.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
关键字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbwin2000presp2fix kbqfe kbenv kbsecurity kbsecbulletin kbhotfixserver KB278499
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com