Solicitação WebDAV malformada pode causar o IIS para esgotar os recursos da CPU

Traduções deste artigo Traduções deste artigo
ID do artigo: 291845 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Expandir tudo | Recolher tudo

Sintomas

World Wide Web Distributed Authoring and Versioning (WebDAV) é uma extensão do protocolo HTTP que permite criação remoto e o gerenciamento da Web conteúdo. Na implementação do protocolo no Windows 2000, serviços de informações da Internet (IIS) 5.0 executa o processamento inicial de todas as solicitações WebDAV e, em seguida, encaminha os comandos apropriados para o processo de WebDAV. No entanto, existe uma falha na maneira como WebDAV manipula um determinado tipo de solicitação malformada. Se for direcionado a um fluxo de tais solicitações malformados em um servidor afetado, ele consome todos os disponibilidade de CPU no servidor.

Fatores atenuantes :
  • O efeito de um ataque por meio dessa vulnerabilidade é temporário. O servidor reiniciará automaticamente o serviço normal assim parar solicitações mal formadas que chegam.
  • Essa vulnerabilidade não fornece um invasor com qualquer recurso para executar solicitações WebDAV.
  • Essa vulnerabilidade não fornece qualquer capacidade de comprometer os dados no servidor ou obter o controle administrativo sobre o servidor.
A Microsoft recomenda que os clientes apliquem o patch descrito neste artigo para todos os servidores executando o IIS 5.0. Embora isso inclui servidores Web, outros serviços também podem requerer que o IIS 5.0 esteja ativado. Por exemplo, o Exchange 2000 Server usa o IIS 5.0 para fornecer serviços do Outlook Web Access (OWA). Portanto, computadores executando o Exchange 2000 Server que fornecem serviços OWA devem implementar o patch para proteger os serviços do IIS 5.0 contra essa vulnerabilidade.

Resolução

Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260910Como obter o service pack mais recente do Windows 2000
A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
				
importante : se você executou a solução alternativa descrita no artigo Q241520 anteriormente, a seguinte caixa de diálogo pode ser exibida quando você instala essa correção:
Erro de cópia instalação não pode copiar o arquivo httpext.dll. Verifique se o local especificado abaixo está correto, ou alterá-lo e insira 'Arquivos de sistema do Windows 2000' na unidade que você especificar. Copiar arquivos de: c:\%windir%\system32\inetsrv (caixa drop-down abaixo)
Para ignorar esta caixa de diálogo, execute estas etapas para reativar o WebDAV:
  1. Abra o Windows Explorer.
  2. Ir para a pasta %systemroot%\system32\inetsrv.
  3. Clique com o botão direito do arquivo Httpext.dll e, em seguida, clique em Propriedades .
  4. Clique na guia segurança .
  5. Selecione todos e, em seguida, clique em Remover .
  6. Marque a caixa de seleção Permitir que permissões herdadas do pai se propaguem para este objeto e clique em Aplicar .
  7. Clique em OK para sair da caixa de diálogo Propriedades .

Como Contornar

Para obter mais informações sobre como solucionar esse problema, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
241520Como desativar o WebDAV para o IIS 5.0

Situação

A Microsoft confirmou que este é um problema no Microsoft Windows 2000. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.

Mais Informações

Para obter mais informações sobre essa vulnerabilidade, consulte o seguinte site:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
Para obter mais informações sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
249149Instalando os hotfixes do Microsoft Windows 2000 e Windows 2000

Propriedades

ID do artigo: 291845 - Última revisão: quarta-feira, 23 de outubro de 2013 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 291845

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com