格式不正确的 WebDAV 请求可以导致 IIS 消耗 CPU 资源

文章翻译 文章翻译
文章编号: 291845 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
我们强烈建议所有用户都升级到 Microsoft Internet Information Services (IIS) 6.0 版 Microsoft Windows Server 2003 上运行。 IIS 6.0 大大提高了 Web 基础结构安全。有关 IIS 的详细信息与安全相关的主题,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
展开全部 | 关闭全部

症状

万维网分布式创作和版本控制 (WebDAV) 是与 HTTP 协议允许远程创作和管理的 Web 内容的扩展。在协议 Windows 2000 实现 Microsoft Internet Information Services (IIS) 5.0 执行初始处理的所有的 WebDAV 请求,然后将相应的命令,以便在 WebDAV 过程发送。但是,WebDAV 处理特定类型的格式不正确的请求方式中存在一个缺陷。如果在受影响的服务器定向的此类格式不正确的请求流,它占用的服务器上的所有 CPU 可用性。

) 的缓解因素
  • 通过此漏洞的效果是攻击的临时性的。只要格式错误的请求停止到达,服务器会自动恢复正常的服务。
  • 此漏洞不提供任何功能,以执行 WebDAV 请求与攻击者。
  • 此漏洞不提供任何功能,以破坏服务器上的数据或对服务器进行管理控制。
Microsoft 建议客户应用到运行 IIS 5.0 的任何服务器本文中介绍的修补程序。虽然这包括 Web 服务器,其他服务也可能需要启用 IIS 5.0 的。例如对于 Exchange 2000 Server 使用 IIS 5.0 提供 Outlook Web Access (OWA) 服务。因此,运行 Exchange 2000 Server 提供 OWA 服务的计算机应实现此修补程序,以防止此漏洞的 IIS 5.0 服务。

解决方案

若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 service pack
此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
				
要点: 如果您以前执行 Q241520 文章中介绍的解决方法,安装此修复程序时,可能会显示下面的对话框:
复制错误安装程序无法复制文件 httpext.dll。 确保下面指定的位置正确无误后,或对其进行更改,并在您指定的驱动器中插入 Windows 2000 系统文件。 文件复制来源: (下拉列表下面的框) c:\%windir%\system32\inetsrv
要跳过此对话框,请按照下列步骤来重新启用 WebDAV 操作:
  1. 打开 Windows 资源管理器。
  2. 转到您 %SystemRoot%\System32\Inetsrv 文件夹。
  3. 用鼠标右键单击您 Httpext.dll 文件,然后单击 属性
  4. 单击 安全 选项卡。
  5. 选择 所有人,然后单击 删除
  6. 选中 允许父级安全性将可继承的权限传播给此对象 复选框,然后单击 应用
  7. 单击 确定 退出 属性 对话框。

替代方法

有关如何解决此问题的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
241520对于 IIS 5.0 中禁用 WebDAV 的方法

状态

Microsoft 已经确认这是 Microsoft Windows 2000 中的问题。 Windows 2000 Service Pack 2 中,第一次已得到纠正此问题。

更多信息

有关此漏洞的详细信息,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
有关如何一次安装 Windows 2000 和 Windows 2000 修补程序的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249149安装 Microsoft Windows 2000 和 Windows 2000 修补程序

属性

文章编号: 291845 - 最后修改: 2013年10月23日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
关键字:?
kbnosurvey kbarchive kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 291845
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com