適用於透過.HTR 弱點讀取的檔案片段的新變種的 MS01-004: 補充程式

文章翻譯 文章翻譯
文章編號: 285985 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 已發行消除網際網路資訊伺服器 (IIS) 4.0] 及 [網際網路資訊服務 (IIS) 5.0 中的安全性弱點的補充程式。非常不尋常的情況下這項弱點可以讓攻擊者從網頁伺服器讀取的檔案片段。

這項弱點涉及 Microsoft Security Bulletin (MS00-044) 將會說明此 「 檔案片段讀取透過.HTR"項弱點的新變數。就像其他] 各種變化這一次可能會允許攻擊者要求,導致它處理由.htr ISAPI 擴充程式的檔案。這結果是伺服器端檔案 (如.asp 檔案片段可能潛在傳送到攻擊者。任何功能透過此弱點新增、 變更,或刪除在伺服器上的檔案或存取沒有權限的檔案。

有許多的這項弱點的重要限制:

  • 在一般.htr 處理期間效果是刪去出非常會是最有可能包含敏感資訊的資料。
  • 必須有零 fortuitously 位於伺服器記憶體,為了要傳送的檔案片段。
  • 如果最佳作法遵循有關需要避免不斷.asp 和伺服器端的其他檔案中儲存敏感資訊,應該要有檔案中的沒有機密資訊一開始。
先前已停用.htr 功能的客戶不受此弱點的影響。Microsoft 建議將所有的客戶停用.htr 功能除非商務關鍵原因為保留它。為客戶群後者,修補程式位於,消除這項弱點。

解決方案

網際網路資訊服務 5.0

如果要解決這個問題,任一個取得此區段或 Windows 2000 安全性彙總套件 1 (SRP1) 中所參考的 Hotfix。取得更多資訊有關 SRP1 按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
311401Windows 2000 安全性彙總套件 1 (SRP1) 2002 年一月
如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
從 「 Microsoft 下載中心 」 下載下列檔案有:
摺疊此圖像展開此圖像
Download
English Language Version

摺疊此圖像展開此圖像
Download
Chinese (Simplified) Language Version

摺疊此圖像展開此圖像
Download
Chinese (Traditional) Language Version

摺疊此圖像展開此圖像
Download
Czech Language Version

摺疊此圖像展開此圖像
Download
Danish Language Version

摺疊此圖像展開此圖像
Download
Dutch Language Version

摺疊此圖像展開此圖像
Download
Finnish Language Version

摺疊此圖像展開此圖像
Download
French Language Version

摺疊此圖像展開此圖像
Download
German Language Version

摺疊此圖像展開此圖像
Download
Greek Language Version

摺疊此圖像展開此圖像
Download
Hungarian Language Version

摺疊此圖像展開此圖像
Download
Italian Language Version

摺疊此圖像展開此圖像
Download
Japanese Language Version

摺疊此圖像展開此圖像
Download
Norwegian Language Version

摺疊此圖像展開此圖像
Download
Polish Language Version

摺疊此圖像展開此圖像
Download
Portuguese (Brazilian) Language Version

摺疊此圖像展開此圖像
Download
Portuguese Language Version

摺疊此圖像展開此圖像
Download
Russian Language Version

摺疊此圖像展開此圖像
Download
Spanish Language Version

摺疊此圖像展開此圖像
Download
Swedish Language Version

摺疊此圖像展開此圖像
Download
Turkish Language Version

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。

此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Version         Size     File name   Platform
   -----------------------------------------------------------------
   5/31/2001   03:31p  5.0.2195.3649  46,352    Ism.dll     x86
				
注意: 由於檔案相依性,此 Hotfix 需要 Microsoft Windows NT 4.0 服務封包 5 或 Service Pack 6a。

網際網路資訊伺服器 4.0

Windows NT 4.0

如果要解決這個問題,取得 Windows NT 4.0 安全性彙總套件。 如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
299444post-Windows NT 4.0 服務封裝 6a 安全彙總套件 (SRP)

Microsoft Windows NT Server 4.0 終端機伺服器版版

如果要解決這個問題,取得終端機伺服器版 Windows NT Server 4.0 安全性彙總套件的套件 (SRP)。取得更多資訊有關 [SRP 按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
317636Windows NT Server 4.0,終端機伺服器版安全性彙總套件

狀況說明

Microsoft 已確認此問題可能會一定程度的安全性弱點造成 IIS 4.0 及 5.0 中。這個問題已經先在 Windows 2000 Service Pack 3 中獲得修正。

其他相關資訊

如需有關如何取得對 Windows 2000 Datacenter Server Hotfix 的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
265173資料中心程式及 Windows 2000 Datacenter Server 產品
如需有關如何安裝多個快速補充程式而只重新開機一次的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
296861使用 QChain.exe 而重新開機一次安裝多個快速補充程式
如需有關這個安全性弱點的詳細資訊,請參閱下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/ms01-004.mspx

屬性

文章編號: 285985 - 上次校閱: 2013年10月23日 - 版次: 5.1
這篇文章中的資訊適用於:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
關鍵字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB285985 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:285985
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com