格式錯誤的 WebDAV 要求可能會造成 IIS 耗盡 CPU 資源

文章編號: 291845 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明
我們強烈建議所有使用者都升級到 Microsoft 網際網路資訊服務 (IIS) 6.0 版 Microsoft Windows Server 2003 上執行。 IIS 6.0 能大幅提升網頁基礎結構的安全性。如需有關 IIS 與安全性相關的主題請造訪下列的 Microsoft Web 網站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
(http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
全部展開 | 全部摺疊

徵狀

全球資訊網分散式撰寫及版本處理 (WebDAV) 是允許遠端撰寫和管理 Web 內容的 HTTP 通訊協定的延伸。在 Windows 2000 通訊協定的實作,Microsoft 網際網路資訊服務 (IIS) 5.0 執行所有的 WebDAV 要求的初始處理,以及會轉送到 WebDAV 處理程序適當的指令。不過,WebDAV 處理特定類型的格式不正確要求的方式有個瑕疵。如果這類格式不正確要求的資料流導向受影響的伺服器在它會耗用伺服器上的所有 CPU 可用性。

緩和因素
  • 透過這項弱點攻擊的效果是暫時的。伺服器會立刻格式不正確的要求停止抵達,自動繼續正常的服務。
  • 這項弱點不會提供攻擊者利用 WebDAV 要求執行任何功能。
  • 這項弱點並不提供任何功能,以破壞伺服器上的資料,或取得伺服器的系統管理控制權。
Microsoft 建議客戶套用至執行 IIS 5.0 任何伺服器本文所述補充程式。雖然這包括 Web 伺服器,其他服務也可能需要啟用 IIS 5.0。比方說 Exchange 2000 伺服器使用 IIS 5.0 提供 Outlook Web Access (OWA) 服務。因此,執行 Exchange 2000 Server 的電腦,可以提供 OWA 服務應該實作補充程式保護其 IIS 5.0 服務免於這項弱點。
回此頁最上方 | 提供意見

解決方案

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
260910
(http://support.microsoft.com/kb/260910/ )
如何取得最新的 Windows 2000 Service Pack
此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Version      Size     File name
   -----------------------------------------------------
   03/12/2001  10:57a  0.9.3940.20  439,056  Httpext.dll
重要: 如果您先前執行因應措施 Q241520 本文所述,可能當您安裝此修正程式會顯示以下對話方塊:
複製錯誤安裝程式無法複製檔案 httpext.dll。 請確定下列指定的位置是正確的或變更它,且在您指定的磁碟機中插入 'Windows 2000 系統檔案'。 複製檔案來源: (下拉式方塊下面) c:\%windir%\system32\inetsrv
略過此對話方塊,請依照下列步驟執行以重新啟用 WebDAV:
  1. 開啟 [Windows 檔案總管]。
  2. 移至 %SystemRoot%\System32\Inetsrv 資料夾。
  3. 您 Httpext.dll] 檔案上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤。
  5. 選取 [所有人,然後按一下 [移除]。
  6. 選取 [允許來自傳播到這個物件的父項的可繼承權限] 核取方塊,然後按一下 [套用]
  7. 按一下 [確定] 結束 [內容] 對話方塊。

回此頁最上方 | 提供意見

其他可行方案

如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
241520
(http://support.microsoft.com/kb/241520/ )
如何停用 IIS 5.0 的 WebDAV
回此頁最上方 | 提供意見

狀況說明

Microsoft 已確認這是在 Microsoft Windows 2000 中的問題。 這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。
回此頁最上方 | 提供意見

其他相關資訊

如需有關這項弱點的詳細資訊,請參閱下列 Microsoft 網站]:
http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx
(http://www.microsoft.com/technet/security/bulletin/ms01-016.mspx)
如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
249149
(http://support.microsoft.com/kb/249149/ )
安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix
回此頁最上方 | 提供意見

屬性

文章編號: 291845 - 上次校閱: 2006年11月21日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
關鍵字:?
kbmt kbbug kbfix kbwin2000presp2fix KB291845 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:291845
(http://support.microsoft.com/kb/291845/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
依現狀不再更新的知識庫內容免責聲明
本文旨在說明 Microsoft 不再提供支援的產品。因此,本文係依「現狀」提供,不會再更新。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方