MS01 025: 修补程序可用的"恶意点击加亮"漏洞新变体

文章翻译 文章翻译
文章编号: 296185 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

已影响索引服务器 2.0 和索引服务,在 Microsoft Windows 2000 中发现的 Malformed Hit-Highlighting vulnerability 新变体。新的变体都有完全一样原始漏洞的范围。如果攻击者提供了一个无效的搜索请求,他或她可以读取驻留在 Web 服务器上的文件。新的修补程序消除了漏洞的所有已知的变体。

的缓解因素:
  • 该漏洞仅允许要读取的文件。文件不能添加、 更改,或通过此漏洞被删除。
  • 服务器端文件不应包含敏感数据。如果您按照此建议,将通过此漏洞破坏任何敏感数据。
  • 该漏洞仅允许文件驻留在 Web 服务器上 (和所在服务器的根目录的逻辑驱动器中) 读取。它不会允许服务器上其他位置, 的文件或 $ 要读取的远程服务器上的文件。

解决方案

$ 索引服务

Windows 2000 Service Pack 3 中,第一次已得到纠正此问题。此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time    Version        Size    File name
   ------------------------------------------------------
   04/12/2001  03:40p  5.0.2195.3498  42,768  Webhits.dll
				

索引服务器 2.0

Windows 4.0 NT

若要解决此问题,获取下面提到的单个程序包或获取 Windows NT 4.0 安全汇总包。SRP 上的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
299444post-Windows NT 4.0 服务包 6a 安全汇总包 (SRP)
以下文件是可从 Microsoft 下载中心下载:
收起这个图片展开这个图片
Download
Download Q296185i.exe now
有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器,这有助于防止未经授权的情况下对其进行更改文件上。

此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time    Version     Size    File name
   ---------------------------------------------------
   04/12/2001  03:51p  5.0.1781.3  42,256  Webhits.dll
				
: 由于文件相关性此修补程序需要 Microsoft Windows NT 4.0 Service Pack 3 或更高版本。

Windows NT Server 4.0,终端服务器版版

要解决此问题,获取 Windows NT Server 4.0,终端服务器版,安全汇总包 (SRP)。SRP 有关的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
317636Windows NT Server 4.0,终端服务器版安全汇总包

状态

Microsoft 已经确认此问题可能导致索引服务在 Windows 2000 和索引服务器 2.0 中的一定程度的安全漏洞。Windows 2000 Service Pack 3 中,第一次已得到纠正此问题。

更多信息

有关如何获得 Windows 2000 数据中心服务器修补程序的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
265173数据中心计划和 Windows 2000 数据中心服务器产品
有关如何在只重新启动一次的情况下安装多个修补程序的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
296861使用 QChain.exe 与一个重新启动安装多个修补程序
有关此漏洞的详细信息,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/MS01-025.mspx

属性

文章编号: 296185 - 最后修改: 2013年10月23日 - 修订: 4.2
这篇文章中的信息适用于:
  • Microsoft Index Server 2.0
  • Microsoft Windows Indexing Service 2.0
关键字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB296185 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 296185
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com