Richiesta non valido di WebDAV pu˛ causare IIS per esaurire le risorse della CPU

Traduzione articoli Traduzione articoli
Identificativo articolo: 291845 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
╚ vivamente consigliabile che tutti gli utenti eseguire l'aggiornamento per Microsoft Internet Information Services (IIS) 6.0 in esecuzione su Microsoft Windows Server 2003. IIS 6.0 aumenta notevolmente la protezione dell'infrastruttura Web. Per ulteriori informazioni su argomenti relativi alla protezione IIS, visitare il sito di Web di Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Espandi tutto | Chiudi tutto

Sintomi

World Wide Web Distributed Authoring and Versioning (WebDAV) Ŕ necessario Ŕ un'estensione del protocollo HTTP che consente di modifica remoto e la gestione di Web contenuto. Nell'implementazione del protocollo di Windows 2000, Microsoft Internet Information Services (IIS) 5.0 esegue l'elaborazione iniziale di tutte le richieste di WebDAV che quindi inoltrati i comandi appropriati per il processo di WebDAV. Tuttavia, Ŕ presente un bug nel modo che WebDAV gestisce un particolare tipo di richiesta non valida. Se un flusso di richieste non valido indica un server interessato dalla vulnerabilitÓ, utilizza tutte le disponibilitÓ della CPU sul server.

Fattori attenuanti :
  • L'effetto di un attacco sfruttando questa vulnerabilitÓ Ŕ temporaneo. Non appena le richieste in formato non valido di interrompere in arrivo, il server riprende automaticamente normale servizio.
  • Questa vulnerabilitÓ non Ŕ disponibile un utente malintenzionato con le funzionalitÓ per eseguire le richieste di WebDAV.
  • Questa vulnerabilitÓ non fornisce alcuna funzionalitÓ per compromettere i dati sul server o di ottenere il controllo amministrativo sul server.
Microsoft consiglia ai clienti di applicare la patch descritta in questo articolo per tutti i server che eseguono IIS 5.0. Sebbene questo includa il server Web, altri servizi possono inoltre richiedono che IIS 5.0 sia attivato. Ad esempio, Exchange 2000 Server utilizza IIS 5.0 per fornire servizi di Outlook Web Access (OWA). Di conseguenza, computer che eseguono Exchange 2000 Server Ŕ possibile che che forniscono servizi di OWA deve implementare la patch per proteggere i servizi di IIS 5.0 da questa vulnerabilitÓ.

Risoluzione

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
260910Come ottenere il service pack pi¨ recente per Windows 2000
La versione inglese di questa correzione deve essere di avere i seguenti attributi di file o versioni successive:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
				
importante : se Ŕ stato eseguito la soluzione descritta nell'articolo Q241520, potrebbe essere visualizzata la seguente finestra di dialogo quando si installa questa correzione:
Errore di copia installazione Impossibile copiare httpext.dll il file. Assicurarsi che sia corretto, il percorso specificato di sotto o modificarlo ed inserire "File di sistema di Windows 2000" nell'unitÓ specificata. Copiare i file da: c:\%windir%\system32\inetsrv (casella di riepilogo riportato di seguito)
Per ignorare questa finestra di dialogo, attenersi alla seguente procedura per riattivare WebDAV:
  1. Aprire Esplora risorse.
  2. Passare la cartella % systemroot%\system32\inetsrv.
  3. Fare clic con il pulsante destro del mouse sul Httpext.dll file e quindi fare clic su ProprietÓ .
  4. Fare clic sulla scheda protezione .
  5. Selezionare Everyone e quindi scegliere Rimuovi .
  6. Selezionare la casella di controllo Consenti autorizzazioni ereditabili dal padre di propagare a questo oggetto e quindi fare clic su Applica .
  7. Consente di scegliere OK per chiudere la finestra di dialogo ProprietÓ .

Workaround

Per ulteriori informazioni sull'utilizzo di risolvere il problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
241520Disattivazione di WebDAV in IIS 5.0

Status

Microsoft ha confermato che questo un problema di Microsoft Windows 2000. Questo problema Ŕ stato innanzitutto corretto in Windows 2000 Service Pack 2.

Informazioni

Per ulteriori informazioni su questa vulnerabilitÓ, vedere il seguente sito Web Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
Per ulteriori informazioni sull'installazione di Windows 2000 e le correzioni rapide di Windows 2000 nello stesso momento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
249149Installare gli aggiornamenti rapidi di Microsoft Windows 2000 e Windows 2000

ProprietÓ

Identificativo articolo: 291845 - Ultima modifica: mercoledý 12 febbraio 2014 - Revisione: 3.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 5.0
Chiavi:á
kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 291845
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com