MS01-004: Revisión disponible para la nueva variante de lectura de fragmentos de archivo a través de .htr vulnerabilidad

Seleccione idioma Seleccione idioma
Id. de artículo: 285985 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Síntomas

Microsoft ha publicado una revisión que elimina una vulnerabilidad de seguridad en Internet Information Server (IIS) 4.0 y 5.0 de Internet Information Services (IIS). En condiciones muy inusuales, esta vulnerabilidad puede permitir a un atacante leer fragmentos de archivos desde un servidor Web.

Esta vulnerabilidad implica una nueva variante de la vulnerabilidad "Archivo fragmento lectura a través de .htr", que se describe en el Microsoft Security Bulletin (MS00-044). Como las variantes, éste puede permitir al atacante solicitar un archivo de forma que al ser procesado por la extensión ISAPI .htr. El resultado de esto es que fragmentos de archivos de lado del servidor, como los archivos .ASP potencialmente pueden enviarse para el atacante. No hay ninguna posibilidad mediante esta vulnerabilidad para agregar, cambiar o eliminar archivos en el servidor, o tener acceso a un archivo sin permisos.

Hay una serie de restricciones importantes sobre esta vulnerabilidad:

  • Durante el procesamiento normal .htr, el efecto es quitar los datos muy que sería el probablemente contienen información confidencial.
  • Debe haber ceros que fortuitously se encuentra en la memoria del servidor para que los fragmentos de archivo para enviarse.
  • Si han seguido las prácticas recomendadas relativas a la necesidad de evitar nunca almacenar información confidencial en .ASP y otros archivos del servidor, no debería haber ninguna información confidencial en los archivos para empezar.
Los clientes que anteriormente han deshabilitado la funcionalidad .htr no están afectados por esta vulnerabilidad. Microsoft recomienda que todos los clientes deshabiliten la funcionalidad .htr, a menos que haya un motivo crítica para mantenerlo. Para el último grupo de clientes, hay disponible una revisión que elimina esta vulnerabilidad.

Solución

Servicios de Internet Information Server 5.0

Para resolver este problema, obtenga la revisión mencionada en esta sección o Windows 2000 seguridad Rollup Package 1 (SRP1). Para obtener información adicional acerca de SRP1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base (en inglés):
311401Paquete de continuación de seguridad 1 (SRP1) de Windows 2000, enero de 2002
Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000
Los archivos siguientes están disponibles para descargarlos del Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Download
English Language Version

Contraer esta imagenAmpliar esta imagen
Download
Chinese (Simplified) Language Version

Contraer esta imagenAmpliar esta imagen
Download
Chinese (Traditional) Language Version

Contraer esta imagenAmpliar esta imagen
Download
Czech Language Version

Contraer esta imagenAmpliar esta imagen
Download
Danish Language Version

Contraer esta imagenAmpliar esta imagen
Download
Dutch Language Version

Contraer esta imagenAmpliar esta imagen
Download
Finnish Language Version

Contraer esta imagenAmpliar esta imagen
Download
French Language Version

Contraer esta imagenAmpliar esta imagen
Download
German Language Version

Contraer esta imagenAmpliar esta imagen
Download
Greek Language Version

Contraer esta imagenAmpliar esta imagen
Download
Hungarian Language Version

Contraer esta imagenAmpliar esta imagen
Download
Italian Language Version

Contraer esta imagenAmpliar esta imagen
Download
Japanese Language Version

Contraer esta imagenAmpliar esta imagen
Download
Norwegian Language Version

Contraer esta imagenAmpliar esta imagen
Download
Polish Language Version

Contraer esta imagenAmpliar esta imagen
Download
Portuguese (Brazilian) Language Version

Contraer esta imagenAmpliar esta imagen
Download
Portuguese Language Version

Contraer esta imagenAmpliar esta imagen
Download
Russian Language Version

Contraer esta imagenAmpliar esta imagen
Download
Spanish Language Version

Contraer esta imagenAmpliar esta imagen
Download
Swedish Language Version

Contraer esta imagenAmpliar esta imagen
Download
Turkish Language Version

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Date        Time    Version         Size     File name   Platform
   -----------------------------------------------------------------
   5/31/2001   03:31p  5.0.2195.3649  46,352    Ism.dll     x86
				
Nota : debido a la interdependencia entre archivos, esta revisión requiere Microsoft Windows NT 4.0 Service Pack 5 o Service Pack 6a.

Internet Information Server 4.0

Windows NT 4.0

Para solucionar este problema, obtenga el paquete de continuación de seguridad de Windows NT 4.0. Para obtener información adicional, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
299444Paquete de continuación de seguridad (SRP) posterior al Service Pack 6a de Windows NT 4.0

Microsoft Windows NT Server versión 4.0, Terminal Server Edition

Para resolver este problema, obtenga el paquete de continuación de Windows NT Server 4.0, Terminal Server, seguridad (SRP). Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317636Paquete de continuación de seguridad (SRP) de Windows NT Server 4.0, Terminal Server Edition

Estado

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de seguridad en IIS 4.0 y 5.0.Este problema se corrigió por primera vez en el Service Pack 3 de Windows 2000.

Más información

Para obtener información adicional acerca de cómo obtener un hotfix para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173El programa Datacenter y el producto servidor de Windows 2000 Datacenter
Para obtener información adicional acerca de cómo instalar varias revisiones con sólo un reinicio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
296861Utilizar QChain.exe para instalar varias revisiones con sólo un reinicio
Para obtener más información sobre esta vulnerabilidad de seguridad, vea el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-004.mspx

Propiedades

Id. de artículo: 285985 - Última revisión: jueves, 23 de enero de 2014 - Versión: 5.1
La información de este artículo se refiere a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB285985 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 285985

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com