MS01-025: Revisión disponible para la nueva variante de la vulnerabilidad "Resalte de visitas mal formado"

Id. de artículo: 296185 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Se ha descubierto una nueva variante de la vulnerabilidad Resalte de visitas mal formado
(http://www.microsoft.com/technet/security/bulletin/ms00-006.mspx)
que afecta a Index Server 2.0 y a Servicios de Index Server en Microsoft Windows 2000. La nueva variante tiene exactamente el mismo alcance que la vulnerabilidad original. Si un atacante proporciona una solicitud de búsqueda no válida, puede leer archivos residentes en el servidor Web. La nueva revisión elimina todas las variantes conocidas de la vulnerabilidad.

Factores atenuantes:
  • La vulnerabilidad sólo permitiría leer archivos. No se pueden agregar, modificar o eliminar archivos mediante esta vulnerabilidad.
  • Los archivos del servidor no deben contener datos confidenciales. Si sigue esta recomendación, esta vulnerabilidad no pondría en peligro ningún dato confidencial.
  • La vulnerabilidad sólo permitiría leer archivos residentes en el servidor Web (y en la misma unidad lógica que el directorio raíz del servidor). No permitiría leer archivos de otros lugares del servidor ni archivos residentes en un servidor remoto.
Volver al principio | Enviar comentarios

Solución

Servicio de Index Server

Este problema se corrigió por primera vez en el Service Pack 3 de Windows 2000. La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Fecha       Hora    Versión        Tamaño  Nombre de archivo
   ------------------------------------------------------------
   12/04/2001  03:40p  5.0.2195.3498  42.768  Webhits.dll

Index Server 2.0

Windows NT 4.0

Para resolver este problema, obtenga el paquete individual al que se hace referencia a continuación o el paquete de continuación de seguridad (SRP) de Windows NT 4.0. Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
299444
(http://support.microsoft.com/kb/299444/EN-US/ )
Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)
El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargar Q296185i.exe ahora
(http://www.microsoft.com/ntserver/nts/downloads/critical/q296185/default.asp)
Para obtener información adicional acerca de cómo descargar archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ES/ )
Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Fecha       Hora    Versión     Tamaño  Nombre de archivo
   ---------------------------------------------------------
   12/04/2001  03:51p  5.0.1781.3  42.256  Webhits.dll
NOTA: debido a la interdependencia entre archivos, esta revisión requiere el Service Pack 4 o posterior de Windows NT 4.0.

Windows NT Server versión 4.0, Terminal Server Edition

Para solucionar este problema, obtenga el paquete de continuación de seguridad (SRP) de Windows NT 4.0, Terminal Server Edition. Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317636
(http://support.microsoft.com/kb/317636/EN-US/ )
Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package
Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que este problema podría provocar cierto grado de vulnerabilidad de la seguridad de Servicios de Index Server en Windows 2000 e Index Server 2.0. Este problema se corrigió por primera vez en el Service Pack 3 de Windows 2000.
Volver al principio | Enviar comentarios

Más información

Para obtener información adicional acerca de cómo obtener una revisión para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173
(http://support.microsoft.com/kb/265173/EN-US/ )
The Datacenter Program and Windows 2000 Datacenter Server Product
Para obtener información adicional acerca de cómo instalar múltiples revisiones con un único reinicio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
296861
(http://support.microsoft.com/kb/296861/ES/ )
Utilizar QChain.exe para instalar varias revisiones con sólo un reinicio
Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-025.mspx
(http://www.microsoft.com/technet/security/bulletin/ms01-025.mspx)
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 296185 - Última revisión: viernes, 13 de octubre de 2006 - Versión: 1.3
La información de este artículo se refiere a:
  • Microsoft Index Server 2.0
  • Microsoft Windows Indexing Service 2.0
Palabras clave: 
kbqfe kbhotfixserver kbbug kbfix kbgraphxlinkcritical kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB296185
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio