MS00 084: 更新可用的索引服務的弱點

文章翻譯 文章翻譯
文章編號: 278499 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 已經讓解決潛在的安全性弱點與 Webhits 元件相關的更新可用 (Webhits.dll) 的 Windows 2000 和 Windows NT 4.0 索引服務。這項弱點是一項功能可讓使用者指定要用來比對查詢文字反白顯示的替代 HTML 「 索引服務的結果。 [] 功能可讓使用者將未經處理的 HTML 當做參數傳遞到.htw 檔案。此 HTML 不是逸出,或以任何方式掃描。有鑑於此,使用者可以再送出內嵌在 HTML 指令碼。這項弱點就所謂跨網站指令碼 (CSS)。如需有關 CSS 的詳細資訊,請參閱本文 < 其他資訊 > 一節。

附註: 索引服務船和 Windows 2000 安裝,但不是會啟用預設。使用者都在 Windows 2000 上執行 Web 伺服器者已啟用索引服務會 urged 套用這個補充程式。[索引服務的 Windows NT 4.0 船搭配 NT 選項套件和未安裝或預設啟用。

解決方案

Windows 2000

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
The English-language version of this fix should have the following 
file attributes or later:

   Date       Time             Size     File name     Platform
   -----------------------------------------------------------
   10/31/2000 11:08am          42,768   Webhits.dll   i386

				

索引伺服器 2.0

從 「 Microsoft 下載中心 」 下載下列檔案有:
除了日文 NEC 和中文-香港之外的所有語言
摺疊此圖像展開此圖像
Download
Download the 278499 package now.
日文 NEC
摺疊此圖像展開此圖像
Download
Download the 278499 package now.
中文-香港特別行政區
摺疊此圖像展開此圖像
Download
Download the 278499 package now.
發行日期: 2003 年 4 月 9日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。 此修正程式的英文版具有檔案屬性 (或更新) 中如下表所列。 這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
   Date         Time   Version     Size    File name
   ---------------------------------------------------
   25-Feb-2003  06:53  5.0.1782.5  42,256  Webhits.dll

狀況說明

Microsoft 已確認這是在本文開頭所列之 Microsoft 產品中的問題。 這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。

其他相關資訊

如需有關這項弱點及補充程式的詳細資訊,請檢視下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/fq00-084.mspx
http://www.microsoft.com/technet/security/bulletin/MS00-084.mspx
2000 年 2 月 20,Microsoft 及電腦緊急回應小組 (CERT) 協調方面中心發佈資訊有關新識別的安全性弱點會影響所有的 Web 伺服器產品。當 Web 程式不正確使用動態的 Web 網頁中之前,請先驗證輸入,就會造成這個弱點已知為跨網站指令碼 (CSS)。如果惡意的網站管理員能夠引誘使用者連至他的網站,而且必須識別協力廠商的 Web 網站,容易受到 CSS,惡意網站操作員可能潛在指令碼 」 將 」 由其他 Web 站台,這會接著傳遞給使用者所建立的網頁插入使用這項弱點。這樣的效果,就是導致惡意的使用者指令碼使用從其他站台的信任使用者的電腦上執行。

這項弱點可能會影響在 Web 伺服器上執行、 接受使用者輸入和 「 盲目"使用來產生 Web 網頁的任何軟體。Microsoft 已經識別一個元件內 Windows 2000 和 Windows NT 4.0 索引服務,很容易受到這種情況和釋放一個公告及補充程式來更正問題。

屬性

文章編號: 278499 - 上次校閱: 2014年2月24日 - 版次: 4.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
關鍵字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbenv kbfix kbwin2000presp2fix KB278499 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:278499
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com