MS01-004: Disponível patch para a nova variante da leitura de fragmento de ficheiro através da vulnerabilidade .HTR

Traduções de Artigos Traduções de Artigos
Artigo: 285985 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

A Microsoft lançou um patch que elimina uma vulnerabilidade de segurança no Internet Information Server (IIS) 4.0 e dos serviços de informação Internet (IIS) 5.0. Em circunstâncias muito invulgares, esta vulnerabilidade pode permitir a um intruso ler fragmentos de ficheiros a partir de um servidor Web.

Esta vulnerabilidade envolve uma nova variante da vulnerabilidade "Ficheiro de fragmento de leitura através de .HTR", que é descrita no Microsoft Security Bulletin (MS00-044). Como outras variantes, este pode permitir que um intruso pedir um ficheiro de forma que causa a ser processado pela extensão de ISAPI .HTR. O resultado desta situação é que fragmentos de ficheiros de lado do servidor como arquivos .ASP podem potencialmente ser enviados para o intruso. Não existe nenhuma capacidade através desta vulnerabilidade para adicionar, alterar ou eliminar ficheiros no servidor ou para aceder a um ficheiro sem permissões.

Existem várias restrições significativas sobre esta vulnerabilidade:

  • Durante o processamento de .HTR normal, o efeito é excluir os dados muito que seriam o mais provável que contêm informações sensíveis.
  • Tem de existir zeros fortuitously localizados na memória da servidor ordem para fragmentos de ficheiros a ser enviado.
  • Se tiverem sido seguidos os procedimentos recomendados sobre a necessidade de evitar nunca armazenar informações importantes no ASP e outros ficheiros do lado do servidor, deverá haver não importantes informações dos ficheiros para começar.
Os clientes que anteriormente tenham desactivado a funcionalidade .HTR não são afectados por esta vulnerabilidade. A Microsoft recomenda que todos os clientes desactivar a funcionalidade .HTR, a menos que exista um motivo crítico para mantê-lo. Para o último grupo de clientes, está disponível um patch que elimina esta vulnerabilidade.

Resolução

Serviços de informação Internet 5.0

Para resolver este problema, ou obter a correcção referida nesta secção ou o Windows 2000 Security Rollup Package 1 (SRP1). Para obter informações adicionais sobre o SRP1, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
311401Windows 2000 Security Rollup Package 1 (SRP1), Janeiro de 2002
Para resolver este problema, obtenha o service pack mais recente do Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
260910Como obter o Service Pack mais recente do Windows 2000
Os ficheiros seguintes estão disponíveis para transferência a partir do Centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Download
English Language Version

Reduzir esta imagemExpandir esta imagem
Download
Chinese (Simplified) Language Version

Reduzir esta imagemExpandir esta imagem
Download
Chinese (Traditional) Language Version

Reduzir esta imagemExpandir esta imagem
Download
Czech Language Version

Reduzir esta imagemExpandir esta imagem
Download
Danish Language Version

Reduzir esta imagemExpandir esta imagem
Download
Dutch Language Version

Reduzir esta imagemExpandir esta imagem
Download
Finnish Language Version

Reduzir esta imagemExpandir esta imagem
Download
French Language Version

Reduzir esta imagemExpandir esta imagem
Download
German Language Version

Reduzir esta imagemExpandir esta imagem
Download
Greek Language Version

Reduzir esta imagemExpandir esta imagem
Download
Hungarian Language Version

Reduzir esta imagemExpandir esta imagem
Download
Italian Language Version

Reduzir esta imagemExpandir esta imagem
Download
Japanese Language Version

Reduzir esta imagemExpandir esta imagem
Download
Norwegian Language Version

Reduzir esta imagemExpandir esta imagem
Download
Polish Language Version

Reduzir esta imagemExpandir esta imagem
Download
Portuguese (Brazilian) Language Version

Reduzir esta imagemExpandir esta imagem
Download
Portuguese Language Version

Reduzir esta imagemExpandir esta imagem
Download
Russian Language Version

Reduzir esta imagemExpandir esta imagem
Download
Spanish Language Version

Reduzir esta imagemExpandir esta imagem
Download
Swedish Language Version

Reduzir esta imagemExpandir esta imagem
Download
Turkish Language Version

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
119591Como obter ficheiros de suporte da Microsoft a partir de serviços on-line
Microsoft procedeu de vírus neste ficheiro. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o ficheiro foi publicado. O ficheiro é alojado em servidores com segurança avançada que o ajudam a impedir alterações não autorizadas ao ficheiro.

A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date        Time    Version         Size     File name   Platform
   -----------------------------------------------------------------
   5/31/2001   03:31p  5.0.2195.3649  46,352    Ism.dll     x86
				
Nota : devido a dependências de ficheiros, esta correcção requer o Microsoft Windows NT 4.0 Service Pack 5 ou Service Pack 6a.

Internet Information Server 4.0

Windows NT 4.0

Para resolver este problema, obtenha o Windows NT 4.0 Security Rollup Package. Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
299444Ao Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)

Microsoft Windows NT Server versão 4.0, Terminal Server Edition

Para resolver este problema, obtenha o Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package (SRP). Para obter informações adicionais sobre o SRP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
317636Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Ponto Da Situação

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no IIS 4.0 e 5.0.Este problema foi corrigido pela primeira vez no Windows 2000 Service Pack 3.

Mais Informação

Para obter informações adicionais sobre como obter uma correcção para o Windows 2000 Datacenter Server, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
265173O programa Datacenter e o produto do Windows 2000 Datacenter Server
Para obter informações adicionais sobre como instalar várias correcções com apenas um reinício, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
296861Utilizar o QChain.exe para instalar múltiplas correcções com um reinício do computador
Para mais informações sobre esta vulnerabilidade de segurança, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-004.mspx

Propriedades

Artigo: 285985 - Última revisão: 2 de fevereiro de 2014 - Revisão: 5.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB285985 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 285985

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com