Pedido de WebDAV mal formado pode causar IIS recursos da CPU de exaustão

Traduções de Artigos Traduções de Artigos
Artigo: 291845 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Recomendamos vivamente que todos os utilizadores actualizem para Microsoft (IIS) 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a Web infra-estrutura de segurança. Para mais informações sobre tópicos relacionados com a segurança do IIS, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Expandir tudo | Reduzir tudo

Sintomas

Na World Wide Web Distributed Authoring and Versioning (WebDAV) é uma extensão do protocolo HTTP que permite conteúdo remoto a criação e gestão de Web. Na implementação do Windows 2000 do protocolo, Microsoft Internet Information Services (IIS) 5.0 executa processamento inicial de todos os pedidos WebDAV e, em seguida, reencaminha os comandos apropriados ao processo de WebDAV. No entanto, existe uma falha na forma como WebDAV processa um determinado tipo de pedido mal formado. Se uma sequência de tais pedidos mal formados é direccionada num servidor afectado, consome todas as disponibilidade de CPU no servidor.

Factores atenuantes :
  • O efeito de um ataque através desta vulnerabilidade é temporário. O servidor retoma automaticamente serviço normal assim pedidos mal formados parar chegar.
  • Esta vulnerabilidade não fornece um intruso com qualquer capacidade para executar pedidos WebDAV.
  • Esta vulnerabilidade não fornece qualquer possibilidade de comprometer dados no servidor ou obtenha o controlo administrativo ao servidor.
A Microsoft recomenda que os clientes apliquem o patch descrito neste artigo para quaisquer servidores a executar o IIS 5.0. Embora inclui servidores Web, outros serviços podem também requerer que o IIS 5.0 ser activado. Por exemplo, o Exchange 2000 Server utiliza IIS 5.0 para fornecer serviços de Outlook Web Access (OWA). Por conseguinte, computadores com o Exchange 2000 Server que fornecem serviços OWA devem implementar o patch para proteger os respectivos serviços IIS 5.0 contra esta vulnerabilidade.

Resolução

Para resolver este problema, obtenha o service pack mais recente do Windows 2000. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
260910Como obter o Windows 2000 service pack mais recente
A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
				
importante : Se tiver efectuado anteriormente a solução descrita no artigo Q241520, a caixa de diálogo seguinte poderá ser apresentada quando instalar esta correcção:
Erro de cópia o programa de configuração não consegue copiar httpext.dll ficheiro. Se certificar de que a localização especificada abaixo está correcta, ou alterá-la e introduza 'Ficheiros de sistema do Windows 2000' na unidade especificada. Copiar ficheiros de: c:\%windir%\system32\inetsrv (caixa de lista pendente abaixo)
Para ignorar esta caixa de diálogo, siga estes passos para reactivar WebDAV:
  1. Abra o Explorador do Windows.
  2. Vá para a pasta %systemroot%\system32\inetsrv.
  3. Clique com o botão direito do rato o ficheiro Httpext.dll e, em seguida, clique em Propriedades .
  4. Clique no separador segurança .
  5. Seleccione Todos (Everyone) e, em seguida, clique em Remover .
  6. Seleccione a caixa de verificação Allow inheritable permissions from parent to propagate to this object e, em seguida, clique em Aplicar .
  7. Clique em ' OK ' para sair da caixa de diálogo Propriedades .

Como contornar

Para obter mais informações sobre como resolver este problema, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
241520Como desactivar o WebDAV no IIS 5.0

Ponto Da Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000. Este problema foi corrigido pela primeira vez no Windows 2000 Service Pack 2.

Mais Informação

Para mais informações sobre esta vulnerabilidade, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
Para obter mais informações sobre como instalar o Windows 2000 e as correcções do Windows 2000 ao mesmo tempo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
249149Instalar correcções do Microsoft Windows 2000 e Windows 2000

Propriedades

Artigo: 291845 - Última revisão: 11 de fevereiro de 2014 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 291845

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com